diff --git a/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml b/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml
index 6166ca85a8..ad90aa2083 100644
--- a/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml
@@ -1,4814 +1,5085 @@
高级网络
概述
本章将就一系列与网络有关的高级话题进行讨论。
读完这章,您将了解:
关于网关和路由的基础知识。
如何配置 IEEE 802.11 和 蓝牙(&bluetooth;) 设备。
如何用 FreeBSD 做网桥。
如何为无盘机上配置网络启动。
如何配置网络地址转换 (NAT)。
如何使用 PLIP 连接两台计算机。
如何在运行 FreeBSD 的计算机上配置 IPv6。
如何配置 ATM。
如何利用 CARP, &os; 支持的
Common Access Redundancy Protocol (共用地址冗余协议)
在读这章之前, 您应:
理解 /etc/rc 脚本的基本知识。
熟悉基本的网络术语。
了解如何配置和安装新的 FreeBSD 内核
()。
了解如何安装第三方软件 ()。
Coranth
Gryphon
贡献者:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
袁
苏义
网关和路由
路由
网关
子网
要让网络上的两台计算机能够相互通讯,
就必须有一种能够描述如何从一台计算机到另一台计算机的机制, 这一机制称作
路由选择(routing)。
路由项
是一对预先定义的地址:
目的地(destination)
和 网关(gateway)
。
这个地址对所表达的意义是, 通过 网关
能够完成与 目的地 的通信。
有三种类型的目的地址: 单个主机、 子网、 以及 默认
。
如果没有可用的其它路由, 就会使用 默认路由
,
有关默认路由的内容, 将在稍后的章节中进行讨论。 网关也有三种类型:
单个主机, 网络接口 (也叫 链路 (links)
)
和以太网硬件地址 (MAC 地址)。
实例
为了说明路由选择的各个部分, 首先来看看下面的例子。
这是 netstat 命令的输出:
&prompt.user; netstat -r
Routing tables
Destination Gateway Flags Refs Use Netif Expire
default outside-gw UGSc 37 418 ppp0
localhost localhost UH 0 181 lo0
test0 0:e0:b5:36:cf:4f UHLW 5 63288 ed0 77
10.20.30.255 link#1 UHLW 1 2421
example.com link#1 UC 0 0
host1 0:e0:a8:37:8:1e UHLW 3 4601 lo0
host2 0:e0:a8:37:8:1e UHLW 0 5 lo0 =>
host2.example.com link#1 UC 0 0
224 link#1 UC 0 0
默认路由
头两行给出了当前配置中的默认路由 (将在 下一节 中进行介绍)
和 localhost (本机) 路由。
回环设备
这里的路由表中给出的用于 localhost 的接口
(Netif 列) 是 lo0,
也就是大家熟知的 回环设备
。
它表示所有以此为 目的地
的通信都留在本机,
而不通过 LAN 发出, 因为这些流量最终会回到起点。
以太网 MAC 地址
接着出现的是以 0:e0:
开头的地址。这些是以太网硬件地址,也称为 MAC 地址。
FreeBSD 会自动识别在同一个以太网中的任何主机 (如
test0), 并为其新增一个路由,
并通过那个以太网接口 — ed0
直接与它通讯 (译者注:那台主机)。与这类路由表相关的也有一个超时项
(Expire列),当我们在指定时间内没有收到从那个主机发来的信息,
这项就派上用场了。这种情况下,到这个主机的路由就会被自动删除。
这些主机被使用一种叫做RIP(路由信息协议--Routing Information
Protocol)的机制所识别,这种机制利用基于最短路径选择
(shortest path determination)
的办法计算出到本地主机的路由。
子网
FreeBSD 也会为本地子网添加子网路由(10.20.30.255 是子网
10.20.30 的广播地址,而 example.com 是这个子网相联的域名)。
名称 link#1 代表主机上的第一块以太网卡。
您会发现,对于它们没有指定另外的接口。
这两个组(本地网络主机和本地子网)的路由是由守护进程
routed 自动配置的。如果它没有运行,
那就只有被静态定义 (例如,明确输入的) 的路由才存在了。
host1 行代表我们的主机,它通过以太网地址来识别。
因为我们是发送端,FreeBSD知道使用回环接口 (lo0)
而不是通过以太网接口来进行发送。
两个 host2 行是我们使用 &man.ifconfig.8;
别名 (请看关于以太网的那部分就会知道我们为什么这么做)
时产生的一个实例。在 lo0
接口之后的 => 符号表明我们不仅使用了回环
(因为这个地址也涉及了本地主机),而且明确指出它是个别名。
这类路由只有在支持别名的主机上才能显现出来。
所有本地网上的其它的主机对于这类路由只会简单拥有
link#1。
最后一行 (目标子网224)
用于处理多播——它会覆盖到其它的区域。
最后,每个路由的不同属性可以在 Flags
列中看到。下边是个关于这些标志和它们的含义的一个简表:
U
Up: 路由处于活动状态。
H
Host: 路由目标是单个主机。
G
Gateway: 所有发到目的地的网络传到这一远程系统上,
并由它决定最后发到哪里。
S
Static: 这个路由是手工配置的,不是由系统自动生成的。
C
Clone: 生成一个新的路由,
通过这个路由我们可以连接上这些机子。
这种类型的路由通常用于本地网络。
W
WasCloned: 指明一个路由——它是基于本地区域网络
(克隆) 路由自动配置的。
L
Link: 路由涉及到了以太网硬件。
默认路由
默认路由
当本地系统需要与远程主机建立连接时,
它会检查路由表以决定是否有已知的路径存在。
如果远程主机属于一个我们已知如何到达 (克隆的路由)
的子网内,那么系统会检查看沿着那个接口是否能够连接。
如果所有已知路径都失败,系统还有最后一个选择:
默认
路由。这个路由是特殊类型的网关路由
(通常只有一个存在于系统里),并且总是在标志栏使用一个
c来进行标识。对于本地区域网络里的主机,
这个网关被设置到任何与外界有直接连接的机子里 (无论是通过
PPP、DSL、cable modem、T1 或其它的网络接口连接)。
如果您正为某台本身就做为网关连接外界的机子配置默认路由的话,
那么该默认路由应该是您的互联网服务商
(ISP)
那方的网关机子。
让我们来看一个关于默认路由的例子。这是个很普遍的配置:
[Local2] <--ether--> [Local1] <--PPP--> [ISP-Serv] <--ether--> [T1-GW]
主机 Local1 和 Local2
在您那边。Local1 通过 PPP 拨号连接到了 ISP。这个
PPP 服务器通过一个局域网连接到另一台网关机子——它又通过一个外部接口连接到
ISP 提供的互联网上。
您的每一台机子的默认路由应该是:
Host
Default Gateway
Interface
Local2
Local1
Ethernet
Local1
T1-GW
PPP
一个常见的问题是我们为什么 (或怎样)
能将 T1-GW 设置成为 Local1
默认网关,而不是它所连接 ISP 服务器?
记住,因为 PPP 接口使用的一个地址是在 ISP
的局域网里的,用于您那边的连接,对于 ISP
的局域网里的其它机子,其路由会自动产生。
因此,您就已经知道了如何到达机子 T1-GW,
那么也就没必要中那一步了——发送通信给 ISP 服务器。
通常使用地址 X.X.X.1 做为一个局域网的网关。
因此 (使用相同的例子),如果您本地的 C 类地址空间是
10.20.30,而您的 ISP
使用的是 10.9.9,
那么默认路由表将是:
Host
Default Route
Local2 (10.20.30.2)
Local1 (10.20.30.1)
Local1 (10.20.30.1, 10.9.9.30)
T1-GW (10.9.9.1)
您可以很轻易地通过 /etc/rc.conf
文件设定默认路由。在我们的实例里,在主机 Local2
里,我们在文件 /etc/rc.conf
里增加了下边内容:
defaultrouter="10.20.30.1"
也可以直接在命令行使用 &man.route.8; 命令:
&prompt.root; route add default 10.20.30.1
要了解关于如何手工维护网络路由表的进一步细节, 请参考
&man.route.8; 联机手册。
重宿主机(Dual Homed Hosts)
重宿 主机
还有一种其它的类型的配置是我们要提及的,
这就是一个主机处于两个不同的网络。技术上,任何作为网关
(上边的实例中,使用了 PPP 连接) 的机子就算作是重宿主机。
但这个词实际上仅用来指那种处于两个局域网之中的机子。
有一种情形,一台机子有两个网卡,
对于各个子网都有各自的一个地址。另一种情况,
这台机子仅有一张网卡,但使用 &man.ifconfig.8;
做了别名。如果有两个独立的以太网在使用的情形就使用前者,
如果只有一个物理网段,但逻辑上分成了两个独立的子网,
就使用后者。
每种情况都要设置路由表以便两子网都知道这台主机是到其它子网的网关——入站路由
(inbound route)。将一台主机配置成两个子网间的路由器,
这种配置经常在我们需要实现单向或双向的包过滤或防火墙时被用到。
如果想让主机在两个接口间转发数据包,您需要激活
FreBSD 的这项功能。至于怎么做,请看下一部分了解更多。
建立路由器
路由器
网络路由器只是一个将数据包从一个接口转发到另一个接口的系统。
互联网标准和良好的工程实践阻止了 FreeBSD 计划在 FreeBSD
中把它置成默认值。您在可以在 &man.rc.conf.5; 中改变下列变量的值为
YES,使这个功能生效:
gateway_enable=YES # Set to YES if this host will be a gateway
这个选项会把&man.sysctl.8;
变量——net.inet.ip.forwarding
设置成 1。如果您要临时地停止路由,
您可以把它重设为 0。
新的路由器需要有路由才知道将数据传向何处。
如果网络够简单,您可以使用静态路由。FreeBSD
也自带一个标准的BSD路由选择守护进程 &man.routed.8;,
称之为 RIP ( version 1和 version 2) 和 IRDP。对 BGP v4,OSPF v2
和其它复杂路由选择协议的支持可以从
net/zebra 包中得到。
像 &gated;
一样的商业产品也提供了更复杂的网络路由解决方案。
BGP
RIP
OSPF
Coranth
Gryphon
贡献者:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
袁
苏义
设置静态路由
手动配置
假设如下这样一个网络:
INTERNET
| (10.0.0.1/24) Default Router to Internet
|
|Interface xl0
|10.0.0.10/24
+------+
| | RouterA
| | (FreeBSD gateway)
+------+
| Interface xl1
| 192.168.1.1/24
|
+--------------------------------+
Internal Net 1 | 192.168.1.2/24
|
+------+
| | RouterB
| |
+------+
| 192.168.2.1/24
|
Internal Net 2
在这里,RouterA 是我们的 &os;
机子,它充当连接到互联网其它部分的路由器的角色。
默认路由设置为10.0.0.1,
它就允许与外界连接。我们假定已经正确配置了
RouterB,并且知道如何连接到想去的任何地方。
(在这个图里很简单。只须在 RouterB
上增加默认路由,使用 192.168.1.1 做为网关。)
如果我们查看一下RouterA的路由表,
我们就会看到如下一些内容:
&prompt.user; netstat -nr
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.0.0.1 UGS 0 49378 xl0
127.0.0.1 127.0.0.1 UH 0 6 lo0
10.0.0/24 link#1 UC 0 0 xl0
192.168.1/24 link#2 UC 0 0 xl1
使用当前的路由表,RouterA
是不能到达我们的内网——Internal Net 2 的。它没有到 192.168.2.0/24 的路由。
一种可以接受的方法是手工增加这条路由。以下的命令会把
Internal Net 2 网络加入到 RouterA 的路由表中,使用192.168.1.2 做为下一个跳跃:
&prompt.root; route add -net 192.168.2.0/24 192.168.1.2
现在 RouterA
就可以到达 192.168.2.0/24
网络上的任何主机了。
永久配置
上面的实例对于运行着的系统来说配置静态路由是相当不错了。
只是,有一个问题——如果您重启您的 &os; 机子,路由信息就会消失。
处理附加的静态路由的方法是把它放到您的
/etc/rc.conf 文件里去。
# Add Internal Net 2 as a static route
static_routes="internalnet2"
route_internalnet2="-net 192.168.2.0/24 192.168.1.2"
配置变量 static_routes
是一串以空格格开的字符串。每一串表示一个路由名字。
在上面的例子中我们中有一个串在 static_routes
里。这个字符串中 internalnet2。
然后我们新增一个配置变量
route_internalnet2,
这里我们把所有传给 &man.route.8;命令的参数拿了过来。
在上面的实例中的我使用的命令是:
&prompt.root; route add -net 192.168.2.0/24 192.168.1.2
因此,我们需要的是 "-net 192.168.2.0/24 192.168.1.2"。
前边已经提到, 可以把多个静态路由的名称, 放到
static_routes 里边。
接着我们就来建立多个静态路由。 下面几行所展示的,
是在一个假想的路由器上增加 192.168.0.0/24 和 192.168.1.0/24
之间静态路由的例子:
static_routes="net1 net2"
route_net1="-net 192.168.0.0/24 192.168.0.1"
route_net2="-net 192.168.1.0/24 192.168.1.1"
路由传播
路由 传播
我们已经讨论了如何定义通向外界的路由,
但未谈及外界是如何找到我们的。
我们已经知道可以设置路由表,
这样任何指向特定地址空间 (在我们的例子中是一个
C 类子网) 的数据都会被送往网络上特定的主机,
然后由这台主机向地址空间内部转发数据。
当您得到一个分配给您的网络的地址空间时,
ISP(网络服务商)会设置它们的路由表,
这样指向您子网的数据就会通过 PPP 连接下传到您的网络。
但是其它跨越国界的网络是如何知道将数据传给您的
ISP 的呢?
有一个系统(很像分布式 DNS 信息系统),
它一直跟踪被分配的地址空间,
并说明它们连接到互联网骨干(Internet backbone)的点。
骨干(Backbone)
指的是负责全世界和跨国的传输的主要干线。
每一台骨干主机(backbone machine)有一份主要表集的副本,
它将发送给特定网络的数据导向相应的骨干载体上(backbone carrier),
从结点往下遍历服务提供商链,直到数据到达您的网络。
服务提供商的任务是向骨干网络广播,以声明它们就是通向您的网点的连接结点
(以及进入的路径)。这就是路由传播。
问题解答
traceroute
有时候,路由传播会有一个问题,一些网络无法与您连接。
或许能帮您找出路由是在哪里中断的最有用的命令就是
&man.traceroute.8;了。当您无法与远程主机连接时,
这个命令一样有用(例如 &man.ping.8; 失败)。
&man.traceroute.8; 命令将以您想连接的主机的名字作为参数执行。
不管是到达了目标,还是因为没有连接而终止,
它都会显示所经过的所有网关主机。
想了解更多的信息,查看 &man.traceroute.8; 的手册。
多播路由
多播路由
内核选项
MROUTING
FreeBSD 一开始就支持多播应用软件和多播路由选择。
多播程序并不要求FreeBSD的任何特殊的配置,
就可以工作得很好。多播路由需要支持被编译入内核:
options MROUTING
另外,多播路由守护进程——&man.mrouted.8;
必须通过 /etc/mrouted.conf
配置来开启通道和 DVMRP。
更多关于多播路由配置的信息可以在 &man.mrouted.8;
的手册里找到。
陈福康
Marc
Fonvieille
Murray
Stokely
无线网络
wireless networking (无线网络)
802.11
wireless networking (无线网络)
无线网络基础
绝大多数无线网络都采用了 IEEE 802.11
标准。 基本的无线网络中, 都包含多个以 2.4GHz 或 5GHz
频段的无线电波广播的站点 (不过, 随所处地域的不同,
或者为了能够更好地进行通讯, 具体的频率会在
2.3GHz 和 4.9GHz 的范围内变化)。
802.11 网络有两种组织方式: 在
infrastructure 模式 中,
一个通讯站作为主站, 其他通讯站都与其关联;
这种网络称为 BSS, 而主站则成为无线访问点 (AP)。
在 BSS 中, 所有的通讯都是通过 AP 来完成的;
即使通讯站之间要相互通讯, 也必须将消息发给 AP。
在第二种形式的网络中, 并不存在主站,
通讯站之间是直接通讯的。 这种网络形式称作 IBSS,
通常也叫做 ad-hoc
网络。
802.11 网络最初在 2.4GHz 频段上部署,
并采用了由 IEEE 802.11 和 802.11b
标准所定义的协议。 这些标准定义了采用的操作频率、
包括分帧和传输速率 (通讯过程中可以使用不同的速率) 在内的 MAC 层特性等。
稍后的 802.11a 标准定义了使用
5GHz 频段进行操作, 以及不同的信号机制和更高的传输速率。
其后定义的 802.11g 标准启用了在 2.4GHz 上如何使用 802.11a 信号和传输机制,
以提供对较早的 802.11b 网络的向前兼容。
802.11 网络中采用的各类底层传输机制提供了不同类型的安全机制。
最初的 802.11 标准定义了一种称为 WEP 的简单安全协议。
这个协议采用固定的预发布密钥, 并使用 RC4
加密算法来对在网络上传输的数据进行编码。
全部通讯站都必须采用同样的固定密钥才能通讯。
这一格局已经被证明很容易被攻破, 因此目前已经很少使用了,
采用这种方法只能让那些接入网络的用户迅速断开。
最新的安全实践是由
IEEE 802.11i 标准给出的, 它定义了新的加密算法,
并通过一种附加的协议来让通讯站向无线访问点验证身份,
并交换用于进行数据通讯的密钥。 更进一步,
用于加密的密钥会定期地刷新,
而且有机制能够监测入侵的尝试 (并阻止这种尝试)。
无线网络中另一种常用的安全协议标准是 WPA。 这是在 802.11i
之前由业界组织定义的一种过渡性标准。 WPA 定义了在 802.11i
中所规定的要求的子集, 并被设计用来在旧式硬件上实施。
特别地, WPA 要求只使用由最初 WEP
所采用的算法派生的 TKIP 加密算法。 802.11i 则不但允许使用 TKIP,
而且还要求支持更强的加密算法 AES-CCM 来用于加密数据。 (在 WPA
中并没有要求使用 AES 加密算法,
因为在旧式硬件上实施这种算法时所需的计算复杂性太高。)
除了前面介绍的那些协议标准之外,
还有一种需要介绍的标准是 802.11e。 它定义了用于在 802.11
网络上运行多媒体应用, 如视频流和使用 IP 传送的语音 (VoIP) 的协议。
与 802.11i 类似, 802.11e 也有一个前身标准,
通常称作 WME (后改名为 WMM), 它也是由业界组织定义的 802.11e
的子集, 以便能够在旧式硬件中使用多媒体应用。
关于 802.11e 与 WME/WMM 之间的另一项重要区别是,
前者允许对流量通过服务品质
(QoS) 协议和增强媒体访问协议来安排优先级。
对于这些协议的正确实现, 能够实现高速突发数据和流量分级。
从 6.0 版本开始, &os; 支持采用 802.11a, 802.11b 和 802.11g
的网络。 类似地, 它也支持 WPA 和 802.11i 安全协议 (与
11a、 11b 和 11g 配合), 而 WME/WMM 所需要的 QoS 和流量分级,
则在部分无线设备上提供了支持。
基本安装
内核配置
要使用无线网络, 您需要一块无线网卡,
并适当地配置内核令其提供无线网络支持。
后者被分成了多个模块,
因此您只需配置使用您所需要的软件就可以了。
首先您需要的是一个无线设备。 最为常用的一种无线配件是
Atheros 生产的。 这些设备由 &man.ath.4;
驱动程序提供支持, 您需要把下面的配置加入到
/boot/loader.conf 文件中:
if_ath_load="YES"
Atheros 驱动分为三个部分: 驱动部分 (&man.ath.4;)、
用于处理芯片专有功能的支持层
(&man.ath.hal.4;), 以及一组用以选择传输帧速率的算法
(ath_rate_sample here)。 当以模块方式加载这一支持时,
所需的其它模块会自动加载。 如果您使用的不是 Atheros
设备, 则应选择对应的模块; 例如:
if_wi_load="YES"
表示使用基于 Intersil Prism 产品的无线设备
(&man.wi.4; 驱动)。
在这篇文挡余下的部分中, 我们将使用一张
&man.ath.4; 卡作示范, 如果您要套用这些配置的话,
就必须根据实际的配置情况来替换设备名。 在联机手册 &man.wlan.4;
的开头部分给出了一份可用的驱动列表。
如果您的无线设备没有专用于 &os; 的驱动程序,
也可以尝试使用 NDIS
驱动封装机制来直接使用 &windows; 驱动。
在配置好设备驱动之后, 您还需要引入驱动程序所需要的 802.11
网络支持。 对于 &man.ath.4; 驱动而言, 至少需要 &man.wlan.4;
模块; 这个模块会自动随无线设备驱动一同加载。
除此之外, 您还需要提供您希望使用的安全协议所需的加密支持模块。
这些模块是设计来让 &man.wlan.4; 模块根据需要自动加载的,
但目前还必须手工进行配置。 您可以使用下面这些模块: &man.wlan.wep.4;、 &man.wlan.ccmp.4;
和 &man.wlan.tkip.4;。 &man.wlan.ccmp.4; 和
&man.wlan.tkip.4; 这两个驱动都只有在您希望采用 WPA 和/或 802.11i
安全协议时才需要。 如果您的网络是完全开放的 (也就是不加密)
则甚至连 &man.wlan.wep.4; 支持也是不需要的。
要在系统引导时加载这些模块, 就需要在
/boot/loader.conf 中加入下面的配置:
wlan_wep_load="YES"
wlan_ccmp_load="YES"
wlan_tkip_load="YES"
通过系统引导配置文件 (也就是
/boot/loader.conf) 中的这些信息生效,
您必须重新启动运行 &os; 的计算机。 如果不想立刻重新启动,
也可以使用
&man.kldload.8; 来手工加载。
如果不想加载模块, 也可以将这些驱动编译到内核中,
方法是在内核的编译配置文件中加入下面的配置:
device ath # Atheros IEEE 802.11 wireless network driver
device ath_hal # Atheros Hardware Access Layer
device ath_rate_sample # John Bicket's SampleRate control algorithm.
device wlan # 802.11 support (Required)
device wlan_wep # WEP crypto support for 802.11 devices
device wlan_ccmp # AES-CCMP crypto support for 802.11 devices
device wlan_tkip # TKIP and Michael crypto support for 802.11 devices
将这些信息写到内核编译配置文件中之后,
您需要重新编译内核, 并重新启动运行 &os;
的计算机。
在系统启动之后, 您会在引导时给出的信息中,
找到类似下面这样的关于无线设备的信息:
ath0: <Atheros 5212> mem 0xff9f0000-0xff9fffff irq 17 at device 2.0 on pci2
ath0: Ethernet address: 00:11:95:d5:43:62
ath0: mac 7.9 phy 4.5 radio 5.6
Infrastructure 模式
通常的情形中使用的是 infrastructure 模式或称 BSS 模式。
在这种模式中, 有一系列无线访问点接入了有线网络。
每个无线网都会有自己的名字, 这个名字称作网络的 SSID。
无线客户端都通过无线访问点来完成接入。
&os; 客户机
如何查找无线访问点
您可以通过使用
ifconfig 命令来扫描网络。
由于系统需要在操作过程中切换不同的无线频率并探测可用的无线访问点,
这种请求可能需要数分钟才能完成。
只有超级用户才能启动这种扫描:
&prompt.root; ifconfig ath0 up scan
SSID BSSID CHAN RATE S:N INT CAPS
-dlinkap 00:13:46:49:41:76 6 54M 29:0 100 EPS WPA WME
-freebsdap 00:11:95:c3:0d:ac 1 54M 22:0 100 EPS WPA
+dlinkap 00:13:46:49:41:76 6 54M 29:3 100 EPS WPA WME
+freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 EPS WPA
在开始扫描之前, 必须将网络接口设为 。
后续的扫描请求就不需要再将网络接口设为 up 了。
扫描会列出所请求到的所有 BSS/IBSS
网络列表。 除了网络的名字
SSID 之外, 我们还会看到
BSSID 即无线访问点的 MAC 地址。
而 CAPS 字段则给出了网络类型及其提供的功能,
其中包括:
E
Extended Service Set (ESS)。 表示通讯站是
infrastructure 网络 (相对于 IBSS/ad-hoc 网络) 的成员。
I
IBSS/ad-hoc 网络。 表示通讯站是 ad-hoc
网络 (相对于 ESS 网络) 的成员。
P
私密。 在 BSS 中交换的全部数据帧均需保证数据保密性。
这表示 BSS 需要通讯站使用加密算法,
例如 WEP、 TKIP 或 AES-CCMP 来加密/解密与其他通讯站交换的数据帧。
S
短前导码 (Short Preamble)。 表示网络采用的是短前导码
(由 802.11b High
Rate/DSSS PHY 定义, 短前导码采用 56-位 同步字段,
而不是在长前导码模式中所采用的 128-位 字段)。
s
短碰撞槽时间 (Short slot time)。 表示由于不存在旧式 (802.11b)
通讯站, 802.11g 网络正使用短碰撞槽时间。
要显示目前已知的网络, 可以使用下面的命令:
&prompt.root; ifconfig ath0 list scan
这些信息可能会由无线适配器自动更新,
也可使用 手动更新。
快取缓存中的旧数据会自动删除,
因此除非进行更多扫描,
这个列表会逐渐缩小。
基本配置
在这一节中我们将展示一个简单的例子来介绍如何让无线网络适配器在 &os;
中以不加密的方式工作。 在您熟悉了这些概念之后,
我们强烈建议您在实际的使用中采用 WPA 来配置网络。
配置无线网络的过程可分为三个基本步骤: 选择无线访问点、
验证您的通讯站身份, 以及配置 IP 地址。
下面的几节中将分步骤地介绍它们。
选择无线访问点
多数时候让系统以内建的探测方式选择无线访问点就可以了。
这是在您将网络接口置为 up 或在
/etc/rc.conf 中配置 IP 地址时的默认方式,
例如:
ifconfig_ath0="DHCP"
如果存在多个无线访问点, 而您希望从中选择具体的一个,
则可以通过指定 SSID 来实现:
ifconfig_ath0="ssid your_ssid_here DHCP"
在某些环境中, 多个访问点可能会使用同样的 SSID (通常,
这样做的目的是简化漫游), 这时可能就需要与某个具体的设备关联了。
这种情况下, 您还应指定无线访问点的
BSSID (这时可以不指定
SSID):
ifconfig_ath0="ssid your_ssid_here bssid xx:xx:xx:xx:xx:xx DHCP"
除此之外, 还有一些其它的方法能够约束查找无线访问点的范围,
例如限制系统扫描的频段, 等等。 如果您的无线网卡支持多个频段,
这样做可能会非常有用, 因为扫描全部可用频段是一个十分耗时的过程。
要将操作限制在某个具体的频段, 可以使用
参数; 例如:
ifconfig_ath0="mode 11g ssid your_ssid_here DHCP"
就会强制卡使用采用 2.4GHz 的 802.11g, 这样在扫描的时候,
就不会考虑那些 5GHz 的频段了。 除此之外, 还可以通过
参数来将操作锁定在特定频率, 以及通过
参数来指定扫描的频段列表。
关于这些参数的进一步信息, 可以在联机手册 &man.ifconfig.8;
中找到。
验证身份
一旦您选定了无线访问点, 您的通讯站就需要完成身份验证,
以便开始发送和接收数据。 身份验证可以通过许多方式进行,
最常用的一种方式称为开放式验证,
它允许任意通讯站加入网络并相互通信。
这种验证方式只应在您第一次配置无线网络进行测试时使用。
其它的验证方式则需要在进行数据通讯之前,
首先进行密钥协商握手; 这些方式要么使用预先分发的密钥或密码,
要么是用更复杂一些的后台服务, 如 RADIUS。
绝大多数用户会使用默认的开放式验证,
而第二多的则是 WPA-PSK, 它也称为个人 WPA, 在 下面
的章节中将进行介绍。
如果您使用 &apple; &airport; Extreme 基站作为无线访问点,
则可能需要同时在两端配置 WEP 共享密钥验证。 这可以通过在
/etc/rc.conf 文件中进行设置, 或使用
&man.wpa.supplicant.8; 程序来手工完成。 如果您只有一个
&airport; 基站, 则可以用类似下面的方法来配置:
ifconfig_ath0="authmode shared wepmode on weptxkey 1 wepkey 01234567 DHCP"
一般而言, 应尽量避免使用共享密钥这种验证方法,
因为它以非常受限的方式使用 WEP 密钥,
使得攻击者能够很容易地破解密钥。 如果必须使用 WEP (例如,
为了兼容旧式的设备) 最好使用
WEP 配合 open 验证方式。
关于 WEP 的更多资料请参见 。
通过 DHCP 获取 IP 地址
在您选定了无线访问点, 并配置了验证参数之后,
还必须获得 IP 地址才能真正开始通讯。 多数时候,
您会通过 DHCP 来获得无线 IP 地址。 要达到这个目的,
只需简单地编辑 /etc/rc.conf 并在配置中加入
DHCP:
ifconfig_ath0="DHCP"
现在您已经完成了启用无线网络接口的全部准备工作了,
下面的操作将启用它:
&prompt.root; /etc/rc.d/netif start
一旦网络接口开始运行, 就可以使用
ifconfig 来查看网络接口 ath0
的状态了:
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.1.100 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps)
status: associated
ssid dlinkap channel 6 bssid 00:13:46:49:41:76
authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100
这里的 status: associated
表示您已经连接到了无线网络 (在这个例子中, 这个网络的名字是
dlinkap)。
bssid 00:13:46:49:41:76 是指您所用无线访问点的
MAC 地址;
authmode 这行指出您所做的通讯将不进行加密
(OPEN)。
静态 IP 地址
如果无法从某个 DHCP 服务器获得 IP 地址,
则可以配置一个静态 IP 地址,
方法是将前面的 DHCP 关键字替换为地址信息。
请务必保持其他用于连接无线访问点的参数:
- ifconfig_ath0="inet 192.168.1.100 netmask 255.255.255.0 ssid your_ssid_here"
+ ifconfig_ath0="ssid your_ssid_here inet 192.168.1.100 netmask 255.255.255.0"
WPA
WPA (Wi-Fi 保护访问) 是一种与 802.11 网络配合使用的安全协议,
其目的是消除 WEP 中缺少身份验证能力的问题,
以及一些其它的安全弱点。 WPA 采用了 802.1X 认证协议,
并采用从多种与 WEP 不同的加密算法中选择一种来保证数据保密性。
WPA 支持的唯一一种加密算法是 TKIP (临时密钥完整性协议),
这是一种对 WEP 所采用的基本 RC4 加密算法的扩展,
除此之外还提供了对检测到的入侵的响应机制。 TKIP
被设计用来与旧式硬件一同工作, 只需要进行部分软件修改;
它提供了一种改善安全性的折衷方案,
但仍有可能受到攻击。 WPA 也指定了
AES-CCMP 加密作为 TKIP 的替代品,
在可能时倾向于使用这种加密; 表达这一规范的常用术语是
WPA2 (或 RSN)。
WPA 定义了验证和加密协议。
验证通常是使用两种方法之一来完成的: 通过 802.1X
或类似 RADIUS 这样的后端验证服务,
或通过在通讯站和无线访问点之间通过事先分发的密码来进行最小握手。
前一种通常称作企业 WPA, 而后者通常也叫做个人 WPA。
因为多数人不会为无线网络配置 RADIUS 后端服务器, 因此
WPA-PSK 是在 WPA 中最为常见的一种。
对无线连接的控制和身份验证工作 (密钥协商或通过服务器验证)
是通过 &man.wpa.supplicant.8; 工具来完成的。
这个程序运行时需要一个配置文件,
/etc/wpa_supplicant.conf。
关于这个文件的更多信息, 请参考联机手册
&man.wpa.supplicant.conf.5;。
WPA-PSK
WPA-PSK 也称作 个人-WPA, 它基于预先分发的密钥 (PSK),
这个密钥是根据作为无线网络上使用的主密钥的密码生成的。
这表示每个无线用户都会使用同样的密钥。 WPA-PSK
主要用于小型网络, 在这种网络中,
通常不需要或没有办法架设验证服务器。
无论何时, 都应使用足够长, 且包括尽可能多字母和数字的强口令,
以免被猜出和/或攻击。
第一步是修改配置文件
/etc/wpa_supplicant.conf,
并在其中加入在您网络上使用的 SSID 和事先分发的密钥:
network={
ssid="freebsdap"
psk="freebsdmall"
}
接下来, 在 /etc/rc.conf 中,
我们将指定无线设备的配置, 令其采用 WPA,
并通过 DHCP 来获取 IP 地址:
ifconfig_ath0="WPA DHCP"
下面, 启用无线网络接口:
&prompt.root; /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 5
DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 6
DHCPOFFER from 192.168.0.1
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.1
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36
protmode CTS roaming MANUAL bintval 100
除此之外, 您也可以手动地使用 above 中那份
/etc/wpa_supplicant.conf 来配置,
方法是执行:
&prompt.root; wpa_supplicant -i ath0 -c /etc/wpa_supplicant.conf
Trying to associate with 00:11:95:c3:0d:ac (SSID='freebsdap' freq=2412 MHz)
Associated with 00:11:95:c3:0d:ac
WPA: Key negotiation completed with 00:11:95:c3:0d:ac [PTK=TKIP GTK=TKIP]
接下来的操作, 是运行
dhclient 命令来从 DHCP 服务器获取 IP:
&prompt.root; dhclient ath0
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.1
bound to 192.168.0.254 -- renewal in 300 seconds.
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/48Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36
protmode CTS roaming MANUAL bintval 100
如果 /etc/rc.conf 的配置中,
使用了 ifconfig_ath0="DHCP",
就不需要手工运行
dhclient 命令了, 因为
dhclient 将在
wpa_supplicant 探测到密钥之后执行。
在这个例子中, DHCP 并不可用, 您可以在
wpa_supplicant 为通讯站完成了身份认证之后,
指定静态 IP 地址:
&prompt.root; ifconfig ath0 inet 192.168.0.100 netmask 255.255.255.0
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36
protmode CTS roaming MANUAL bintval 100
如果没有使用 DHCP, 还需要手工配置默认网关,
以及域名服务器:
&prompt.root; route add default your_default_router
&prompt.root; echo "nameserver your_DNS_server" >> /etc/resolv.conf
使用 EAP-TLS 的 WPA
使用 WPA 的第二种方式是使用 802.1X 后端验证服务器,
在这个例子中, WPA 也称作 企业-WPA,
以便与安全性较差、 采用事先分发密钥的 个人-WPA 区分开来。
在 企业-WPA 中, 验证操作是采用 EAP 完成的
(可扩展认证协议)。
EAP 并未附带加密方法,
因此设计者决定将 EAP 放在加密信道中进行传送。
为此设计了许多 EAP 验证方法,
最常用的方法是 EAP-TLS、 EAP-TTLS 和
EAP-PEAP。
EAP-TLS (带 传输层安全 的 EAP)
是一种在无线世界中得到了广泛支持的验证协议,
因为它是 Wi-Fi 联盟
核准的第一个 EAP 方法。
EAP-TLS 需要使用三个证书: CA
证书 (在所有计算机上安装)、 用以向您证明服务器身份的服务器证书,
以及每个无线客户端用于证明身份的客户机证书。 在这种
EAP 方式中, 验证服务器和无线客户端均通过自己的证书向对方证明身份,
它们均验证对方的证书是本机构的证书发证机构 (CA) 签发的。
与之前介绍的方法类似, 配置也是通过
/etc/wpa_supplicant.conf 来完成的:
network={
ssid="freebsdap"
proto=RSN
key_mgmt=WPA-EAP
eap=TLS
identity="loader"
ca_cert="/etc/certs/cacert.pem"
client_cert="/etc/certs/clientcert.pem"
private_key="/etc/certs/clientkey.pem"
private_key_passwd="freebsdmallclient"
}
这个字段表示网络名
(SSID)。
这里, 我们使用 RSN (IEEE 802.11i) 协议, 也就是
WPA2。
key_mgmt 这行表示所用的密钥管理协议。
在我们的例子中, 它是使用 EAP 验证的 WPA:
WPA-EAP。
这个字段中, 提到了我们的连接采用 EAP 方式。
identity 字段包含了 EAP 的实体串。
ca_cert 字段给出了 CA 证书文件的路径名。
在验证服务器证书时, 这个文件是必需的。
client_cert 这行给出了客户机证书的路径名。
对每个无线客户端而言, 这个证书都是在全网范围内唯一的。
private_key 字段是客户机证书私钥文件的路径名。
private_key_passwd 字段是私钥的口令字。
接着, 把下面的配置加入到
/etc/rc.conf:
ifconfig_ath0="WPA DHCP"
下一步是使用 rc.d 机制来启用网络接口:
&prompt.root; /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit
txpowmax 36 protmode CTS roaming MANUAL bintval 100
如前面提到的那样, 也可以手工通过
wpa_supplicant 和
ifconfig 命令达到类似的目的。
使用 EAP-TTLS 的 WPA
在使用 EAP-TLS 时, 参与验证过程的服务器和客户机都需要证书,
而在使用 EAP-TTLS (带传输层安全隧道的 EAP) 时,
客户机证书则是可选的。 这种方式与某些安全 web
站点更为接近, 即使访问者没有客户端证书,
这些 web 服务器也能建立安全的 SSL 隧道。
EAP-TTLS 会使用加密的 TLS
隧道来传送验证信息。
对于它的配置, 同样是通过
/etc/wpa_supplicant.conf
文件来进行的:
network={
ssid="freebsdap"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
identity="test"
password="test"
ca_cert="/etc/certs/cacert.pem"
phase2="auth=MD5"
}
这个字段是我们的连接所采用的 EAP 方式。
identity 字段中是在加密 TLS 隧道中用于 EAP
验证的身份串。
password 字段中是用于 EAP
验证的口令字。
ca_cert 字段给出了 CA 证书文件的路径名。
在验证服务器证书时, 这个文件是必需的。
这个字段中给出了加密 TLS 隧道中使用的验证方式。
在这个例子中, 我们使用的是带 MD5-加密口令 的 EAP。
inner authentication
(译注:内部鉴定) 通常也叫
phase2
。
您还必须把下面的配置加入到
/etc/rc.conf:
ifconfig_ath0="WPA DHCP"
下一步是启用网络接口:
&prompt.root; /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit
txpowmax 36 protmode CTS roaming MANUAL bintval 100
使用 EAP-PEAP 的 WPA
PEAP (受保护的 EAP) 被设计用以替代 EAP-TTLS。
有两种类型的 PEAP 方法, 最常用的是 PEAPv0/EAP-MSCHAPv2。
在这篇文档余下的部分中, 术语 PEAP 是指这种 EAP 方法。
PEAP 是在 EAP-TLS 之后最为常用的 EAP 标准,
换言之, 如果您的网络中有多种不同的操作系统,
PEAP 将是仅次于 EAP-TLS 的支持最广的标准。
PEAP 与 EAP-TTLS 很像: 它使用服务器端证书,
通过在客户端与验证服务器之间建立加密的 TLS 隧道来向用户验证身份,
这保护了验证信息的交换过程。 在安全方面,
EAP-TTLS 与 PEAP 的区别是 PEAP 会以明文广播用户名,
只有口令是通过加密 TLS 隧道传送的。 而
EAP-TTLS 在传送用户名和口令时, 都使用 TLS 隧道。
我们需要编辑
/etc/wpa_supplicant.conf 文件,
并加入与 EAP-PEAP 有关的配置:
network={
ssid="freebsdap"
proto=RSN
key_mgmt=WPA-EAP
eap=PEAP
identity="test"
password="test"
ca_cert="/etc/certs/cacert.pem"
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
这个字段的内容是用于连接的 EAP 方式。
identity 字段中是在加密 TLS 隧道中用于 EAP
验证的身份串。
password 字段中是用于 EAP
验证的口令字。
ca_cert 字段给出了 CA 证书文件的路径名。
在验证服务器证书时, 这个文件是必需的。
这个字段包含了第一阶段验证 (TLS
隧道) 的参数。 随您使用的验证服务器的不同,
您需要指定验证的标签。 多数时候,
标签应该是 客户端 EAP 加密
,
这可以通过使用 peaplabel=0 来指定。
更多信息可以在联机手册
&man.wpa.supplicant.conf.5; 中找到。
这个字段的内容是验证协议在加密的 TLS 隧道中使用的信息。
对 PEAP 而言, 这是
auth=MSCHAPV2。
您还必须把下面的配置加入到
/etc/rc.conf:
ifconfig_ath0="WPA DHCP"
下一步是启用网络接口:
&prompt.root; /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit
txpowmax 36 protmode CTS roaming MANUAL bintval 100
WEP
WEP (有线等效协议) 是最初
802.11 标准的一部分。 其中没有提供身份验证机制,
只提供了弱访问控制, 而且很容易破解。
WEP 可以通过
ifconfig 配置:
- &prompt.root; ifconfig ath0 inet 192.168.1.100 netmask 255.255.255.0 ssid my_net \
- wepmode on weptxkey 3 wepkey 3:0x3456789012
+ &prompt.root; ifconfig ath0 ssid my_net wepmode on weptxkey 3 wepkey 3:0x3456789012 \
+ inet 192.168.1.100 netmask 255.255.255.0
weptxkey 指明了使用哪个 WEP
密钥来进行数据传输。 这里我们使用第三个密钥。
它必须与无线访问点的配置一致。
wepkey 表示设置所选的 WEP 密钥。
其格式应为
index:key, 如果没有给出 index 值,
则默认为 1。 因此,
如果需要设置的密钥不是第一个, 就必需指定 index 了。
您需要将 0x3456789012 改为在无线接入点上配置的那个。
我们建议您阅读联机手册 &man.ifconfig.8; 来了解进一步的信息。
wpa_supplicant 机制也可以用来配置您的无线网卡使用 WEP。
前面的例子也可以通过在
/etc/wpa_supplicant.conf 中加入下述设置来实现:
network={
ssid="my_net"
key_mgmt=NONE
wep_key3=3456789012
wep_tx_keyidx=3
}
接着:
&prompt.root; wpa_supplicant -i ath0 -c /etc/wpa_supplicant.conf
Trying to associate with 00:13:46:49:41:76 (SSID='dlinkap' freq=2437 MHz)
Associated with 00:13:46:49:41:76
Ad-hoc 模式
IBSS 模式, 也称为 ad-hoc 模式, 是为点对点连接设计的。
例如, 如果希望在计算机 A 和
B 之间建立 ad-hoc 网络,
我们只需选择两个 IP 地址和一个 SSID 就可以了。
在计算机 A 上:
- &prompt.root; ifconfig ath0 inet 192.168.0.1 netmask 255.255.255.0 ssid freebsdap mediaopt adhoc
+ &prompt.root; ifconfig ath0 ssid freebsdap mediaopt adhoc inet 192.168.0.1 netmask 255.255.255.0
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
ether 00:11:95:c3:0d:ac
media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>)
status: associated
ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac
authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100
此处的 adhoc 参数表示无线网络接口应以 IBSS 模式运转。
此时, 在 B 上应该能够检测到
A 的存在了:
&prompt.root; ifconfig ath0 up scan
SSID BSSID CHAN RATE S:N INT CAPS
- freebsdap 02:11:95:c3:0d:ac 2 54M 19:0 100 IS
+ freebsdap 02:11:95:c3:0d:ac 2 54M 19:3 100 IS
在输出中的 I 再次确认了 A
机是以 ad-hoc 模式运行的。 我们只需给 B 配置一不同的 IP
地址:
- &prompt.root; ifconfig ath0 inet 192.168.0.2 netmask 255.255.255.0 ssid freebsdap mediaopt adhoc
+ &prompt.root; ifconfig ath0 ssid freebsdap mediaopt adhoc inet 192.168.0.2 netmask 255.255.255.0
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>)
status: associated
ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac
authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100
这样, A 和 B 就可以交换信息了。
+
+ &os; 基于主机的(无线)访问接入点
+
+ &os; 可以作为一个(无线)访问接入点(AP),
+ 这样可以不必再去买一个硬件 AP 或者使用 ad-hoc 模式的网络。
+ 当你的 &os; 机器作为网关连接到另外一个网络的时候将非常有用。
+
+
+ 基本配置
+
+ 在把你的 &os; 机器配置成一个 AP 以前,
+ 你首先需要先在内核配置好对你的无线网卡的无线网络支持。
+ 当然你还需要加上你想用的安全协议。想获得更详细的信息,
+ 请参阅 。
+
+
+ 目前还不支持使用 &windows; 驱动和 NDIS
+ 驱动包装的网卡做为 AP 使用。只有 &os;
+ 原生的无线驱动能够支持 AP 模式。
+
+
+ 一旦装载了无线网络的支持,
+ 你就可以检查一下看看你的无线设备是否支持基于主机的无线访问接入模式
+ (通常也被称为 hostap 模式):
+
+ &prompt.root; ifconfig ath0 list caps
+ath0=783ed0f<WEP,TKIP,AES,AES_CCM,IBSS,HOSTAP,AHDEMO,TXPMGT,SHSLOT,SHPREAMBLE,MONITOR,TKIPMIC,WPA1,WPA2,BURST,WME>
+
+ 这段输出显示了网卡所支持的各种功能; 其中的关键字
+ HOSTAP
+ 表示这块无线网卡能作为一个(无线)访问接入点使用。
+ 同时也提到了各种加密算法: WEP,TKIP,WPA2,等等,
+ 这些信息对于知道在访问接入点上使用何种安全协议非常重要。
+
+ 现在这块无线设备在配置了正确的 SSID 和 IP
+ 地址后进入 hostap 模式了。
+
+ &prompt.root; ifconfig ath0 ssid freebsdap mode 11g mediaopt hostap inet 192.168.0.1 netmask 255.255.255.0
+
+ 再一次用 ifconfig 查看一下
+ ath0 网络接口的状态:
+
+ &prompt.root; ifconfig ath0
+ ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
+ inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
+ inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
+ ether 00:11:95:c3:0d:ac
+ media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
+ status: associated
+ ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
+ authmode OPEN privacy OFF txpowmax 38 bmiss 7 protmode CTS burst dtimperiod 1 bintval 100
+
+ hostap
+ 参数说明这个网络接口目前正运行在基于主机的接入访问模式。
+
+ 也可以在 /etc/rc.conf
+ 中加入以下这行使得网络界面的配置能够在机器启动的时候自动完成:
+
+ ifconfig_ath0="ssid freebsdap mode 11g mediaopt hostap inet 192.168.0.1 netmask 255.255.255.0"
+
+
+
+ 不使用认证或加密的(无线)访问接入点
+
+ 尽管我们不推荐运行一个不使用任何认证或加密的 AP,
+ 但这是一个非常简单的检测 AP 是否正常工作的方法。
+ 这样配置对于调试客户端问题也非常重要。
+
+ 一旦 AP 被配置成了我们前面所展示的那样,
+ 就可以在另外一台无线机器上初始化一次扫描来找到这个 AP:
+
+ &prompt.root; ifconfig ath0 up scan
+SSID BSSID CHAN RATE S:N INT CAPS
+freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 ES
+
+ 在客户机上能看到已经连接上了(无线)访问接入点:
+
+ &prompt.root; ifconfig ath0 ssid freebsdap inet 192.168.0.2 netmask 255.255.255.0
+&prompt.root; ifconfig ath0
+ ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
+ inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
+ inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
+ ether 00:11:95:d5:43:62
+ media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps)
+ status: associated
+ ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
+ authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100
+
+
+
+ 使用 WPA 的(无线)访问接入点
+
+ 这一段将注重介绍在 &os; (无线)访问接入点上配置使用
+ WPA 安全协议。 更多有关 WPA 和配置基于 WPA 无线客户端的细节
+ 请参阅 。
+
+ hostapd
+ 守护进程将被用于处理与客户端的认证和在启用 WPA
+ (无线)访问接入点上的密钥管理。
+
+ 接下来,所有的配置操作都将在作为 AP 的 &os; 机器上完成。
+ 一旦 AP 能够正确的工作了,便把如下这行加入
+ /etc/rc.conf 使得
+ hostapd
+ 能在机器启动的时候自动运行:
+
+ hostapd_enable="YES"
+
+ 在配置 hostapd 以前,
+ 请确保你已经完成了基本配置中所介绍的步骤 。
+
+
+ WPA-PSK
+
+ WPA-PSK 旨在为没有认证服务器的小型网络而设计的。
+
+ 配置文件为
+ /etc/hostapd.conf file:
+
+ interface=ath0
+debug=1
+ctrl_interface=/var/run/hostapd
+ctrl_interface_group=wheel
+ssid=freebsdap
+wpa=1
+wpa_passphrase=freebsdmall
+wpa_key_mgmt=WPA-PSK
+wpa_pairwise=CCMP TKIP
+
+
+
+ 这一项标明了访问接入点所使用的无线接口。
+
+
+
+ 这一项设置了执行 hostapd
+ 时候显示相关信息的详细程度。
+ 1 表示最小的级别。
+
+
+
+ ctrl_interface 这项给出了
+ hostapd
+ 存储与其他外部程序(比如 &man.hostapd.cli.8;)
+ 通信的域套接口文件路径。这里使用了默认值。
+
+
+
+ ctrl_interface_group
+ 这行设置了允许访问控制界面文件的组属性
+ (这里我们使用了 wheel 组)。
+
+
+
+ 这一项是设置网络的名称。
+
+
+
+ wpa 这项表示启用了 WPA
+ 而且指明要使用何种 WPA 认证协议。
+ 值 1 表示 AP 将使用 WPA-PSK。
+
+
+
+ wpa_passphrase
+ 这项包含用于 WPA 认证的 ASCII 密码。
+
+
+ 通常使用从丰富的字母表生成足够长度的强壮密码,
+ 以不至于被轻易的猜测或攻击到。
+
+
+
+
+ wpa_key_mgmt
+ 这行表明了我们所使用的密钥管理协议。
+ 在这个例子中是 WPA-PSK。
+
+
+
+ wpa_pairwise
+ 这项表示(无线)访问接入点所接受的加密算法。
+ 在这个例子中,TKIP(WPA) 和 CCMP(WPA2) 密码都会被接受。
+ CCMP 密码是除 TKIP 外的另一种选择,
+ CCMP 一般作为首选密码;
+ 仅有在 CCMP 不能被使用的环境中选择 TKIP。
+
+
+
+ 接下来的一步就是运行
+ hostapd:
+
+ &prompt.root /etc/rc.d/hostapd forcestart
+
+ &prompt.root; ifconfig ath0
+ ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 2290
+ inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
+ inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
+ ether 00:11:95:c3:0d:ac
+ media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
+ status: associated
+ ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
+ authmode WPA2/802.11i privacy MIXED deftxkey 2 TKIP 2:128-bit txpowmax 36 protmode CTS dtimperiod 1 bintval 100
+
+ 现在客户端能够连接上运行的(无线)访问接入点了,
+ 更多细节可以参阅 。
+ 查看有哪些客户连接上了 AP 可以运行命令
+ ifconfig ath0 list
+ sta。
+
+
+
+
+ 使用 WEP 的(无线)访问接入点
+
+ 我们不推荐使用 WEP 来设置一个(无线)访问接入点,
+ 因为没有认证的机制并容易被破解。 一些历史遗留下的无线网卡仅支持
+ WEP 作为安全协议, 这些网卡仅允许搭建不含认证或 WEP
+ 协议的 AP。
+
+ 在设置了正确的 SSID 和 IP 地址后,无线设备就可以进入
+ hostap 模式了:
+
+ &prompt.root; ifconfig ath0 ssid freebsdap wepmode on weptxkey 3 wepkey 3:0x3456789012 mode 11g mediaopt hostap \
+ inet 192.168.0.1 netmask 255.255.255.0
+
+
+
+ weptxkey 表示传输中使用哪一个
+ WEP 密钥。 这个例子中用了第3把密钥(请注意密钥的编号从
+ 1开始)。
+ 这个参数必须设置以用来加密数据。
+
+
+
+ wepkey 表示设置所使用的 WEP
+ 密钥。 它应该符合 index:key
+ 这样的格式。 如果没有指定 index,那么默认值为
+ 1。
+ 这就是说如果我们使用了除第一把以外的密钥,
+ 那么就需要指定 index。
+
+
+
+ 再使用一次 ifconfig 命令查看
+ ath0 接口的状态:
+
+ &prompt.root; ifconfig ath0
+ ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
+ inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
+ inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
+ ether 00:11:95:c3:0d:ac
+ media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
+ status: associated
+ ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
+ authmode OPEN privacy ON deftxkey 3 wepkey 3:40-bit txpowmax 36 protmode CTS dtimperiod 1 bintval 100
+
+ 现在可以从另外一台无线机器上初始化一次扫描来找到这个
+ AP 了:
+
+ &prompt.root; ifconfig ath0 up scan
+SSID BSSID CHAN RATE S:N INT CAPS
+freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 EPS
+
+ 现在客户机能够使用正确的参数(密钥等)
+ 找到并连上(无线)访问接入点了,
+ 更多细节请参阅。
+
+
+
故障排除
如果您在使用无线网络时遇到了麻烦,
此处提供了一系列用以帮助排除故障的步骤。
如果您在列表中找不到无线访问点,
请确认您没有将无线设备配置为使用有限的一组频段。
如果您无法关联到无线访问点,
请确认您的通讯站配置与无线访问点的配置一致。
这包括认证模式以及安全协议。 尽可能简化您的配置。
如果您正使用类似 WPA 或 WEP 这样的安全协议,
请将无线访问点配置为开放验证和不采用安全措施,
并检查是否数据能够通过。
一旦您能够关联到无线访问点之后,
就可以使用简单的工具如 &man.ping.8; 来诊断安全配置了。
wpa_supplicant 提供了许多调试支持;
尝试手工运行它, 在启动时指定
选项, 并察看输出结果。
除此之外还有许多其它的底层调试工具。
您可以使用 /usr/src/tools/tools/net80211
中的 wlandebug 命令来启用 802.11
协议支持层的调试功能。 例如:
&prompt.root; wlandebug -i ath0 +scan+auth+debug+assoc
net.wlan.0.debug: 0 => 0xc80000<assoc,auth,scan>
可以用来启用与扫描无线访问点和 802.11
协议在安排通讯时与握手有关的控制台信息。
还有许多有用的统计信息是由 802.11 层维护的;
wlanstats 工具可以显示这些信息。
这些统计数据能够指出由 802.11 层识别出来的错误。
请注意某些错误可能是由设备驱动在 802.11 层之下识别出来的,
因此这些错误可能并不显示。 要诊断与设备有关的问题,
您需要参考设备驱动程序的文档。
如果上述信息没能帮助您找到具体的问题所在,
请提交问题报告, 并在其中附上这些工具的输出。
Pav
Lucistnik
作者:
pav@FreeBSD.org
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
袁
苏义
蓝牙
蓝牙
简介
Bluetooth (蓝牙) 是一项无线技术,
用于建立带宽为 2.4GHZ,波长为 10 米的私有网络。
网络一般是由便携式设备,比加手机 (cellular phone),
掌上电脑 (handhelds) 和膝上电脑 (laptops)) 以 ad-hoc
形式组成。不象其它流行的无线技术——Wi-Fi,Bluetooth
提供了更高级的服务层面,像类 FTP 的文件服务、文件推送
(file pushing)、语音传送、串行线模拟等等。
在 &os; 里,蓝牙栈 (Bluetooth stack) 通过使用
Netgraph 框架 (请看 &man.netgraph.4;) 来的实现。
大量的"Bluetooth USB dongle"由 &man.ng.ubt.4; 驱动程序支持。
基于 Broadcom BCM2033 芯片组的 Bluetooth 设备可以通过
&man.ubtbcmfw.4; 和 &man.ng.ubt.4; 驱动程序支持。
3Com Bluetooth PC 卡 3CRWB60-A 由 &man.ng.bt3c.4; 驱动程序支持。
基于 Serial 和 UART 的蓝牙设备由 &man.sio.4;、&man.ng.h4.4;
和 &man.hcseriald.8;。本节介绍 USB Bluetooth dongle
的使用。
插入设备
默认的 Bluetooth 设备驱动程序已存在于内核模块里。
接入设备前,您需要将驱动程序加载入内核:
&prompt.root; kldload ng_ubt
如果系统启动时 Bluetooth 设备已经存在于系统里,
那么从 /boot/loader.conf 里加载这个模块:
ng_ubt_load="YES"
插入USB dongle。控制台(console)(或syslog中)会出现类似如下的信息:
ubt0: vendor 0x0a12 product 0x0001, rev 1.10/5.25, addr 2
ubt0: Interface 0 endpoints: interrupt=0x81, bulk-in=0x82, bulk-out=0x2
ubt0: Interface 1 (alt.config 5) endpoints: isoc-in=0x83, isoc-out=0x3,
wMaxPacketSize=49, nframes=6, buffer size=294
在 &os; 6.0, 以及 &os; 5.X 系列中 5.5 之前的版本上,
蓝牙栈必须手动启动。 在 &os; 5.5、 6.1 以及更新一些的版本上,
这一工作会由 &man.devd.8; 自动完成。
复制 /usr/share/examples/netgraph/bluetooth/rc.bluetooth
到一个合适的地方,如 /etc/rc.bluetooth。
这个脚本用于启动和停止 Bluetooth stack (蓝牙栈)。
最好在拔出设备前停止 stack(stack),当然也不是非做不可。
启动 stack (栈) 时,会得到如下的输出:
&prompt.root; /etc/rc.bluetooth start ubt0
BD_ADDR: 00:02:72:00:d4:1a
Features: 0xff 0xff 0xf 00 00 00 00 00
<3-Slot> <5-Slot> <Encryption> <Slot offset>
<Timing accuracy> <Switch> <Hold mode> <Sniff mode>
<Park mode> <RSSI> <Channel quality> <SCO link>
<HV2 packets> <HV3 packets> <u-law log> <A-law log> <CVSD>
<Paging scheme> <Power control> <Transparent SCO data>
Max. ACL packet size: 192 bytes
Number of ACL packets: 8
Max. SCO packet size: 64 bytes
Number of SCO packets: 8
HCI
主控制器接口 (HCI)
主控制器接口 (HCI)
提供了通向基带控制器和连接管理器的命令接口及访问硬件状态字和控制寄存器的通道。
这个接口提供了访问蓝牙基带 (Bluetooth baseband) 功能的统一方式。
主机上的 HCI 层与蓝牙硬件上的 HCI 固件交换数据和命令。
主控制器的传输层 (如物理总线) 驱动程序提供两个 HCI
层交换信息的能力。
为每个蓝牙 (Bluetooth) 设备创建一个
hci 类型的 Netgraph 结点。
HCI 结点一般连接蓝牙设备的驱动结点 (下行流) 和
L2CAP 结点 (上行流)。 所有的HCI操作必须在 HCI
结点上进行而不是设备驱动结点。HCI 结点的默认名是
devicehci
。更多细节请参考
&man.ng.hci.4; 的联机手册。
最常见的任务是发现在 RF proximity
中的蓝牙 (Bluetooth) 设备。这个就叫做
质询(inquiry)。质询及 HCI
相关的操作可以由 &man.hccontrol.8; 工具来完成。
以下的例子展示如何找出范围内的蓝牙设备。
在几秒钟内您应该得到一张设备列表。
注意远程主机只有被置于
discoverable(可发现)
模式才能答应质询。
&prompt.user; hccontrol -n ubt0hci inquiry
Inquiry result, num_responses=1
Inquiry result #0
BD_ADDR: 00:80:37:29:19:a4
Page Scan Rep. Mode: 0x1
Page Scan Period Mode: 00
Page Scan Mode: 00
Class: 52:02:04
Clock offset: 0x78ef
Inquiry complete. Status: No error [00]
BD_ADDR 是蓝牙设备的特定地址,
类似于网卡的 MAC 地址。需要用此地址与某个设备进一步地通信。
可以为 BD_ADDR 分配由人可读的名字 (human readable name)。
文件 /etc/bluetooth/hosts
包含已知蓝牙主机的信息。
下面的例子展示如何获得分配给远程设备的可读名。
&prompt.user; hccontrol -n ubt0hci remote_name_request 00:80:37:29:19:a4
BD_ADDR: 00:80:37:29:19:a4
Name: Pav's T39
如果在远程蓝牙上运行质询,您会发现您的计算机是
your.host.name (ubt0)
。
分配给本地设备的名字可随时改变。
蓝牙系统提供点对点连接 (只有两个蓝牙设备参与)
和点对多点连接。在点对多点连接中,连接由多个蓝牙设备共享。
以下的例子展示如何取得本地设备的活动基带 (baseband)
连接列表。
&prompt.user; hccontrol -n ubt0hci read_connection_list
Remote BD_ADDR Handle Type Mode Role Encrypt Pending Queue State
00:80:37:29:19:a4 41 ACL 0 MAST NONE 0 0 OPEN
connection handle(连接柄)
在需要终止基带连接时有用。注意:一般不需要手动完成。
栈 (stack) 会自动终止不活动的基带连接。
&prompt.root; hccontrol -n ubt0hci disconnect 41
Connection handle: 41
Reason: Connection terminated by local host [0x16]
参考 hccontrol help
获取完整的 HCI 命令列表。大部分 HCI
命令不需要超级用户权限。
L2CAP
逻辑连接控制和适配协议(L2CAP)
逻辑连接控制和适配协议 (L2CAP)
为上层协议提供面向连接和无连接的数据服务,
并提供多协议功能和分割重组操作。L2CAP
充许上层协议和应用软件传输和接收最大长度为
64K 的 L2CAP 数据包。
L2CAP 基于 通道(channel) 的概念。
通道 (Channel) 是位于基带 (baseband) 连接之上的逻辑连接。
每个通道以多对一的方式绑定一个单一协议 (single protocol)。
多个通道可以绑定同一个协议,但一个通道不可以绑定多个协议。
每个在通道里接收到的 L2CAP 数据包被传到相应的上层协议。
多个通道可共享同一个基带连接。
为每个蓝牙 (Bluetooth) 设备创建一个
l2cap 类型的 Netgraph 结点。
L2CAP 结点一般连接 HCI 结点(下行流)和蓝牙设备的驱动结点(上行流)。
L2CAP 结点的默认名是 devicel2cap
。
更多细节请参考 &man.ng.l2cap.4; 的联机手册。
一个有用的命令是 &man.l2ping.8;,
它可以用来 ping 其它设备。
一些蓝牙实现可能不会返回所有发送给它们的数据,
所以下例中的 0 bytes 是正常的。
&prompt.root; l2ping -a 00:80:37:29:19:a4
0 bytes from 0:80:37:29:19:a4 seq_no=0 time=48.633 ms result=0
0 bytes from 0:80:37:29:19:a4 seq_no=1 time=37.551 ms result=0
0 bytes from 0:80:37:29:19:a4 seq_no=2 time=28.324 ms result=0
0 bytes from 0:80:37:29:19:a4 seq_no=3 time=46.150 ms result=0
&man.l2control.8; 工具用于在 L2CAP 上进行多种操作。
以下这个例子展示如何取得本地设备的逻辑连接 (通道)
和基带连接的列表:
&prompt.user; l2control -a 00:02:72:00:d4:1a read_channel_list
L2CAP channels:
Remote BD_ADDR SCID/ DCID PSM IMTU/ OMTU State
00:07:e0:00:0b:ca 66/ 64 3 132/ 672 OPEN
&prompt.user; l2control -a 00:02:72:00:d4:1a read_connection_list
L2CAP connections:
Remote BD_ADDR Handle Flags Pending State
00:07:e0:00:0b:ca 41 O 0 OPEN
另一个诊断工具是 &man.btsockstat.1;。
它完成与 &man.netstat.1; 类似的操作,
只是用了蓝牙网络相关的数据结构。
以下这个例子显示与 &man.l2control.8; 相同的逻辑连接。
&prompt.user; btsockstat
Active L2CAP sockets
PCB Recv-Q Send-Q Local address/PSM Foreign address CID State
c2afe900 0 0 00:02:72:00:d4:1a/3 00:07:e0:00:0b:ca 66 OPEN
Active RFCOMM sessions
L2PCB PCB Flag MTU Out-Q DLCs State
c2afe900 c2b53380 1 127 0 Yes OPEN
Active RFCOMM sockets
PCB Recv-Q Send-Q Local address Foreign address Chan DLCI State
c2e8bc80 0 250 00:02:72:00:d4:1a 00:07:e0:00:0b:ca 3 6 OPEN
RFCOMM
RFCOMM 协议
RFCOMM 协议提供基于 L2CAP 协议的串行端口模拟。
该协议基于 ETSI TS 07.10 标准。RFCOMM 是一个简单的传输协议,
附加了摸拟 9 针 RS-232(EIATIA-232-E) 串行端口的定义。
RFCOMM 协议最多支持 60 个并发连接 (RFCOMM通道)。
为了实现 RFCOMM,
运行于不同设备上的应用程序建立起一条关于它们之间通信段的通信路径。
RFCOMM实际上适用于使用串行端口的应用软件。
通信段是一个设备到另一个设备的蓝牙连接 (直接连接)。
RFCOMM 关心的只是直接连接设备之间的连接,
或在网络里一个设备与 modem 之间的连接。RFCOMM 能支持其它的配置,
比如在一端通过蓝牙无线技术通讯而在另一端使用有线接口。
在&os;,RFCOMM 协议在蓝牙套接字层 (Bluetooth sockets layer) 实现。
结对
设备的结对(Pairing of Devices)
默认情况下,蓝牙通信是不需要验证的,
任何设备可与其它任何设备对话。一个蓝牙设备 (比如手机)
可以选择通过验证以提供某种特殊服务 (比如拨号服务)。
蓝牙验证一般使用 PIN码(PIN codes)。
一个 PIN 码是最长为 16 个字符的 ASCII 字符串。
用户需要在两个设备中输入相同的PIN码。用户输入了 PIN 码后,
两个设备会生成一个 连接密匙(link key)。
接着连接密钥可以存储在设备或存储器中。
连接时两个设备会使用先前生成的连接密钥。
以上介绍的过程被称为 结对(pairing)。
注意如果任何一方丢失了连接密钥,必须重新进行结对。
守护进程 &man.hcsecd.8; 负责处理所有蓝牙验证请求。
默认的配置文件是 /etc/bluetooth/hcsecd.conf。
下面的例子显示一个手机的 PIN 码被预设为1234
:
device {
bdaddr 00:80:37:29:19:a4;
name "Pav's T39";
key nokey;
pin "1234";
}
PIN 码没有限制(除了长度)。有些设备
(例如蓝牙耳机) 会有一个预置的 PIN 码。
开关强制 &man.hcsecd.8; 守护进程处于前台,因此很容易看清发生了什么。
设置远端设备准备接收结对 (pairing),然后启动蓝牙连接到远端设备。
远端设备应该回应接收了结对并请求PIN码。输入与
hcsecd.conf 中一样的 PIN 码。
现在您的个人计算机已经与远程设备结对了。
另外您也可以在远程设备上初始结点。
在 &os; 5.5、 6.1 以及更新版本上, 可以通过在
/etc/rc.conf 文件中增加下面的行, 以便让
hcsecd 在系统启动时自动运行:
hcsecd_enable="YES"
以下是简单的
hcsecd 服务输出样本:
hcsecd[16484]: Got Link_Key_Request event from 'ubt0hci', remote bdaddr 0:80:37:29:19:a4
hcsecd[16484]: Found matching entry, remote bdaddr 0:80:37:29:19:a4, name 'Pav's T39', link key doesn't exist
hcsecd[16484]: Sending Link_Key_Negative_Reply to 'ubt0hci' for remote bdaddr 0:80:37:29:19:a4
hcsecd[16484]: Got PIN_Code_Request event from 'ubt0hci', remote bdaddr 0:80:37:29:19:a4
hcsecd[16484]: Found matching entry, remote bdaddr 0:80:37:29:19:a4, name 'Pav's T39', PIN code exists
hcsecd[16484]: Sending PIN_Code_Reply to 'ubt0hci' for remote bdaddr 0:80:37:29:19:a4
SDP
服务发现协议 (SDP)
服务发现协议 (SDP) 提供给客户端软件一种方法,
它能发现由服务器软件提供的服务及属性。
服务的属性包括所提供服务的类型或类别,
使用该服务所需要的机制或协议。
SDP 包括 SDP 服务器和 SDP 客户端之间的通信。
服务器维护一张服务记录列表,它介绍服务器上服务的特性。
每个服务记录包含关于单个服务的信息。通过发出 SDP 请求,
客户端会得到服务记录列表的信息。如果客户端 (或者客户端上的应用软件)
决定使用一个服务,为了使用这个服务它必须与服务提供都建立一个独立的连接。
SDP 提供了发现服务及其属性的机制,但它并不提供使用这些服务的机制。
一般地,SDP客户端按照服务的某种期望特征来搜索服务。
但是,即使没有任何关于由 SDP 服务端提供的服务的预设信息,
有时也能令人满意地发现它的服务记录里所描述的是哪种服务类型。
这种发现所提供服务的过程称为 浏览(browsing)。
蓝牙 SDP 服务端 &man.sdpd.8; 和命令行客户端
&man.sdpcontrol.8; 都包括在了标准的 &os; 安装里。
下面的例子展示如何进行 SDP 浏览查询。
&prompt.user; sdpcontrol -a 00:01:03:fc:6e:ec browse
Record Handle: 00000000
Service Class ID List:
Service Discovery Server (0x1000)
Protocol Descriptor List:
L2CAP (0x0100)
Protocol specific parameter #1: u/int/uuid16 1
Protocol specific parameter #2: u/int/uuid16 1
Record Handle: 0x00000001
Service Class ID List:
Browse Group Descriptor (0x1001)
Record Handle: 0x00000002
Service Class ID List:
LAN Access Using PPP (0x1102)
Protocol Descriptor List:
L2CAP (0x0100)
RFCOMM (0x0003)
Protocol specific parameter #1: u/int8/bool 1
Bluetooth Profile Descriptor List:
LAN Access Using PPP (0x1102) ver. 1.0
...等等。注意每个服务有一个属性
(比如 RFCOMM 通道)列表。
根据服务您可能需要为一些属性做个注释。
有些蓝牙实现 (Bluetooth implementation)
不支持服务浏览,
可能会返回一个空列表。这种情况,可以搜索指定的服务。
下面的例子展示如何搜索 OBEX Object Push (OPUSH) 服务:
&prompt.user; sdpcontrol -a 00:01:03:fc:6e:ec search OPUSH
要在 &os; 里为蓝牙客户端提供服务,可以使用 &man.sdpd.8; 服务。
在 &os; 5.5、 6.1 和更新版本之上, 可以通过在
/etc/rc.conf 中加入下面的行:
sdpd_enable="YES"
接下来使用下面的命令来启动 sdpd 服务:
&prompt.root; /etc/rc.d/sdpd start
在 &os; 6.0, 以及 5.5 之前的 &os; 5.X 版本上,
sdpd 没有集成进系统启动脚本。
它可以用下面的命令来手动启动:
&prompt.root; sdpd
需要为远端提供蓝牙服务的本地的服务程序会使用本地 SDP
进程注册服务。像这样的程序就有 &man.rfcomm.pppd.8;。
一旦启动它,就会使用本地 SDP 进程注册蓝牙 LAN 服务。
使用本地 SDP 进程注册的服务列表,可以通过本地控制通道发出
SDP 浏览查询获得:
&prompt.root; sdpcontrol -l browse
拨号网络 (DUN) 和使用 PPP(LAN) 层面的网络接入
拨号网络 (DUN) 配置通常与 modem 和手机一起使用。
如下是这一配置所涉及的内容:
计算机使用手机或 modem 作为无线
modem 来连接拨号因特网连入服务器,
或者使用其它的拨号服务;
计算机使用手机或 modem 接收数据请求。
使用 PPP(LAN) 层面的网络接入常使用在如下情形:
单个蓝牙设备的局域网连入;
多个蓝牙设备的局域网接入;
PC 到 PC (使用基于串行线模拟的 PPP 网络)。
在 &os; 中,两个层面使用 &man.ppp.8; 和
&man.rfcomm.pppd.8; (一种封装器,可以将 RFCOMM
蓝牙连接转换为 PPP 可操作的东西) 来实现。
在使用任何层面之前,一个新的 PPP 标识必须在
/etc/ppp/ppp.conf 中建立。
想要实例请参考 &man.rfcomm.pppd.8;。
在下面的例子中,&man.rfcomm.pppd.8; 用来在
NUN RFCOMM 通道上打开一个到 BD_ADDR 为 00:80:37:29:19:a4
的设备的 RFCOMM 连接。具体的 RFCOMM 通道号要通过 SDP
从远端设备获得。也可以手动指定通 RFCOMM,这种情况下
&man.rfcomm.pppd.8; 将不能执行 SDP 查询。使用
&man.sdpcontrol.8; 来查找远端设备上的 RFCOMM 通道。
&prompt.root; rfcomm_pppd -a 00:80:37:29:19:a4 -c -C dun -l rfcomm-dialup
为了提供 PPP(LAN) 网络接入服务,必须运行
&man.sdpd.8; 服务。一个新的 LAN 客户端条目必须在
/etc/ppp/ppp.conf 文件中建立。
想要实例请参考 &man.rfcomm.pppd.8;。
最后,在有效地通道号上开始 RFCOMM PPP 服务。
RFCOMM PPP 服务会使用本地 SDP 进程自动注册蓝牙 LAN
服务。下面的例子展示如何启动 RFCOMM PPP 服务。
&prompt.root; rfcomm_pppd -s -C 7 -l rfcomm-server
OBEX
OBEX 对象推送 (OBEX Object Push - OPUSH) 层面
OBEX协议被广泛地用于移动设备之间简单的文件传输。
它的主要用处是在红外线通信领域,
被用于笔记本或手持设备之间的一般文件传输。
OBEX 服务器和客户端由第三方软件包
obexapp实现,它可以从
comms/obexapp
port 安装。
OBEX 客户端用于向 OBEX 服务器推入或接出对象。
一个对像可以是(举个例子)商业卡片或约会。 OBEX 客户能通过
SDP 从远程设备取得 RFCOMM 通道号。这可以通过指定服务名代替
RFCOMM 通道号来完成。支持的服务名是有:IrMC、FTRN 和 OPUSH。
也可以用数字来指定 RFCOMM 通道号。下面是一个 OBEX
会话的例子,一个设备信息对像从手机中被拉出,
一个新的对像被推入手机的目录。
&prompt.user; obexapp -a 00:80:37:29:19:a4 -C IrMC
obex> get telecom/devinfo.txt devinfo-t39.txt
Success, response: OK, Success (0x20)
obex> put new.vcf
Success, response: OK, Success (0x20)
obex> di
Success, response: OK, Success (0x20)
为了提供 OBEX 推入服务,&man.sdpd.8;
必须处于运行状态。必须创建一个根目录用于存放所有进入的对象。
根文件夹的默认路径是 /var/spool/obex。
最后,在有效的 RFCOMM 通道号上开始 OBEX 服务。OBEX 服务会使用
SDP 进程自动注册 OBEX 对象推送 (OBEX Object Push) 服务。
下面的例子展示如何启动 OBEX 服务。
&prompt.root; obexapp -s -C 10
串口(SP)层面
串口(SP)层面允许蓝牙设备完成 RS232 (或类似) 串口线的仿真。
这个层面所涉及到情形是,
通过虚拟串口使用蓝牙代替线缆来处理以前的程序。
工具 &man.rfcomm.sppd.1; 来实现串口层。
Pseudo tty
用来作为虚拟的串口。
下面的例子展示如何连接远程设备的串口服务。
注意您不必指定 RFCOMM 通道——&man.rfcomm.sppd.1;
能够通过 SDP 从远端设备那里获得。
如果您想代替它的话,可以在命令行里指定 RFCOMM
通道来实现:
&prompt.root; rfcomm_sppd -a 00:07:E0:00:0B:CA -t /dev/ttyp6
rfcomm_sppd[94692]: Starting on /dev/ttyp6...
一旦连接上,pseudo tty
就可以充当串口了:
&prompt.root; cu -l ttyp6
问题解答
不能连接远端设备
一些较老的蓝牙设备并不支持角色转换
(role switching)。默认情况下,&os; 接受一个新的连接时,
它会尝试进行角色转换并成为主控端 (master)。
不支持角色转换的设备将无法连接。
注意角色转换是在新连接建立时运行的,
因此如果远程设备不支持角色转换,就不可能向它发出请求。
一个 HCI 选项用来在本地端禁用角色转换。
&prompt.root; hccontrol -n ubt0hci write_node_role_switch 0
如果有错, 能否知道到底正在发生什么?
可以。 需要借助第三方软件包
hcidump, 它可以通过
comms/hcidump port
来安装。 hcidump 工具和
&man.tcpdump.1; 非常相像。 它可以用来显示蓝牙数据包的内容,
并将其记录到文件中。
Andrew
Thompson
原作
桥接
简介
IP 子网
桥接
有时, 会有需要将一个物理网络分成两个独立的网段,
而不是创建新的 IP 子网, 并将其通过路由器相连。
以这种方式连接两个网络的设备称为 网桥 (bridge)
。
有两个网络接口的 FreeBSD 系统可以作为网桥来使用。
网桥通过学习每个网络接口上的 MAC 层地址 (以太网地址) 工作。
只当数据包的源地址和目标地址处于不同的网络时, 网桥才进行转发。
在很多方面,网桥就像一个带有很少端口的以太网交换机。
适合桥接的情况
适合使用网桥的, 有许多种不同的情况。
使多个网络相互联通
网桥的基本操作是将两个或多个网段连接在一起。
由于各式各样的原因, 人们会希望使用一台真正的计算机,
而不是网络设备来充任网桥的角色, 常见的原因包括线缆的限制、
需要进行防火墙, 或为虚拟机网络接口连接虚拟网络。
网桥也可以将无线网卡以 hostap 模式接入有线网络。
过滤/数据整形防火墙
防火墙
NAT
使用防火墙的常见情形是无需进行路由或网络地址转换的情况 (NAT)。
举例来说, 一家通过 DSL 或 ISDN 连接到 ISP 的小公司,
拥有 13 个 ISP 分配的全局 IP 地址和 10 台 PC。
在这种情况下, 由于划分子网的问题,
采用路由来实现防火墙会比较困难。
路由器
DSL
ISDN
基于网桥的防火墙可以串接在 DSL/ISDN
路由器的后面, 而无需考虑 IP 编制的问题。
网络监视
网桥可以用于连接两个不同的网段, 并用于监视往返的以太网帧。
这可以通过在网桥接口上使用 &man.bpf.4;/&man.tcpdump.1;,
或通过将全部以太网帧复制到另一个网络接口 (span 口) 来实现。
2层 VPN
通过 IP 连接的网桥, 可以利用 EtherIP 隧道或基于 &man.tap.4;
的解决方案, 如 OpenVPN 可以将两个以太网连接到一起。
2层 冗余
网络可以通过多条链路连接在一起, 并使用生成树协议 (Spanning Tree Protocol)
来阻止多余的通路。 为使以太网能够正确工作, 两个设备之间应该只有一条激活通路,
而生成树能够检测环路, 并将多余的链路置为阻断状态。 当激活通路断开时,
协议能够计算另外一棵树, 并重新激活阻断的通路,
以恢复到网络各点的连通性。
内核配置
这一节主要介绍 &man.if.bridge.4; 网桥实现。
除此之外, 还有一个基于 netgraph 的网桥实现, 如欲了解进一步细节,
请参见联机手册 &man.ng.bridge.4;。
网桥驱动是一个内核模块, 并会随使用 &man.ifconfig.8;
创建网桥接口时自动加载。 您也可以将 device if_bridge
加入到内核配置文件中, 以便将其静态联编进内核。
包过滤可以通过使用了 &man.pfil.9; 框架的任意一种防火墙软件包来完成。
这些防火墙可以以模块形式加载, 也可以静态联编进内核。
通过配合
&man.altq.4; 和 &man.dummynet.4;, 网桥也可以用于流量控制。
启用网桥
网桥是通过接口复制来创建的。
您可以使用 &man.ifconfig.8; 来创建网桥接口, 如果内核不包括网桥驱动,
则它会自动将其载入。
&prompt.root; ifconfig bridge create
bridge0
&prompt.root; ifconfig bridge0
bridge0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 96:3d:4b:f1:79:7a
id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:00:00:00:00:00 priority 0 ifcost 0 port 0
如此就建立了一个网桥接口, 并为其随机分配了以太网地址。
maxaddr 和 timeout
参数能够控制网桥在转发表中保存多少个 MAC 地址,
以及表项中主机的过期时间。 其他参数控制生成树的运转方式。
将成员网络接口假如网桥。 为了让网桥能够为所有网桥成员接口转发包,
网桥接口和所有成员接口都需要处于启用状态:
&prompt.root; ifconfig bridge0 addm fxp0 addm fxp1 up
&prompt.root; ifconfig fxp0 up
&prompt.root; ifconfig fxp1 up
网桥现在会在
fxp0 和
fxp1 之间转发以太网帧。
等效的 /etc/rc.conf 配置如下,
如此配置将在系统启动时创建同样的网桥。
cloned_interfaces="bridge0"
ifconfig_bridge0="addm fxp0 addm fxp1 up"
ifconfig_fxp0="up"
ifconfig_fxp1="up"
如果网桥主机需要 IP 地址, 则应将其绑在网桥设备本身,
而不是某个成员设备上。 这可以通过静态设置或 DHCP 来完成:
&prompt.root; ifconfig bridge0 inet 192.168.0.1/24
除此之外, 也可以为网桥接口指定 IPv6 地址。
防火墙
firewall (防火墙)
当启用包过滤时, 通过网桥的包可以分别在进入的网络接口、
网桥接口和发出的网络接口上进行过滤。 这些阶段均可禁用。
当包的流向很重要时, 最好在成员接口而非网桥接口上配置防火墙。
网桥上可以进行许多配置以决定非 IP 及 ARP 包能否通过,
以及通过 IPFW 实现二层防火墙。 请参见
&man.if.bridge.4; 联机手册以了解进一步的细节。
生成树
网桥驱动实现了快速生成树协议 (RSTP 或 802.1w),
并与较早的生成树协议 (STP) 兼容。 生成树可以用来在网络拓扑中检测并消除环路。 RSTP
提供了比传统 STP 更快的生成树覆盖速度, 这种协议会在相邻的交换机之间交换信息,
以迅速进入转发状态, 而不会产生环路。
下表展示了支持的运行模式:
OS 版本
STP 模式
默认模式
&os; 5.4—&os; 6.2
STP
STP
&os; 6.3+
RSTP 或 STP
STP
&os; 7.0+
RSTP 或 STP
RSTP
使用 stp 命令可以在成员接口上启用生成树。 对包含
fxp0 和
fxp1 的网桥,
可以用下列命令启用 STP:
&prompt.root; ifconfig bridge0 stp fxp0 stp fxp1
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether d6:cf:d5:a0:94:6d
id 00:01:02:4b:d4:50 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:01:02:4b:d4:50 priority 32768 ifcost 0 port 0
member: fxp0 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP>
port 3 priority 128 path cost 200000 proto rstp
role designated state forwarding
member: fxp1 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP>
port 4 priority 128 path cost 200000 proto rstp
role designated state forwarding
网桥的生成树 ID 为
00:01:02:4b:d4:50 而优先级为
32768。 其中 root id
与生成树相同, 表示这是作为生成树根的网桥。
另一个网桥也启用了生成树:
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 96:3d:4b:f1:79:7a
id 00:13:d4:9a:06:7a priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:01:02:4b:d4:50 priority 32768 ifcost 400000 port 4
member: fxp0 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP>
port 4 priority 128 path cost 200000 proto rstp
role root state forwarding
member: fxp1 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP>
port 5 priority 128 path cost 200000 proto rstp
role designated state forwarding
这里的 root id 00:01:02:4b:d4:50 priority 32768
ifcost 400000 port 4 表示根网桥是前面的
00:01:02:4b:d4:50,
而从此网桥出发的通路代价为 400000,
此通路到根网桥是通过 port 4 即
fxp0 连接的。
网桥的高级用法
重建流量流
网桥支持监视模式, 在 &man.bpf.4; 处理之后会将包丢弃,
而不是继续处理或转发。 这可以用于将两个或多个接口上的输入转化为一个
&man.bpf.4; 流。 在将两个独立的接口上的传输的 RX/TX 信号重整为一个时,
这会非常有用。
如果希望将四个网络接口上的输入转成一个流:
&prompt.root; ifconfig bridge0 addm fxp0 addm fxp1 addm fxp2 addm fxp3 monitor up
&prompt.root; tcpdump -i bridge0
镜像口 (Span port)
网桥收到的每个以太网帧都可以发到镜像口上。
网桥上的镜像口数量没有限制, 如果一个接口已经被配置为镜像口,
则它就不能再作为网桥的成员口来使用。
这种用法主要是为与网桥镜像口相连的监听机配合使用。
如果希望将所有帧发到名为
fxp4 的接口上:
&prompt.root; ifconfig bridge0 span fxp4
专用接口 (Private interface)
专用接口不会转发流量到除专用接口之外的其他端口。
这些流量会无条件地阻断, 因此包括 ARP 在内的以太网帧均不会被转发。
如果需要选择性地阻断流量, 则应使用防火墙。
自学习接口 (Sticky Interfaces)
如果网桥的成员接口标记为自学习, 则动态学习的地址项一旦进入转发快取缓存,
即被认为是静态项。 自学习项不会从快取缓存中过期或替换掉,
即使地址在另一接口上出现也是如此。 这使得不必事先发布转发表,
也能根据学习结果得到静态项的有点, 但在这些网段被网桥看到的客户机,
就不能漫游至另一网段了。
另一种用法是将网桥与 VLAN 功能连用,
这样客户网络会被隔离在一边, 而不会浪费 IP 地址空间。 考虑 CustomerA 在
vlan100 上, 而 CustomerB 则在
vlan101 上。 网桥地址为
192.168.0.1, 同时作为
internet 路由器使用。
&prompt.root; ifconfig bridge0 addm vlan100 sticky vlan100 addm vlan101 sticky vlan101
&prompt.root; ifconfig bridge0 inet 192.168.0.1/24
两台客户机均将 192.168.0.1 作为默认网关,
由于网桥快取缓存是自学习的, 因而它们无法伪造
MAC 地址来截取其他客户机的网络流量。
在 VLAN 之间的通讯可以通过专用接口 (或防火墙) 来阻断:
&prompt.root; ifconfig bridge0 private vlan100 private vlan101
这样这些客户机就完全相互隔离了。
可以使用整个的 /24 地址空间,
而无需划分子网。
SNMP 管理
网桥接口和 STP 参数能够由 &os; 基本系统的 SNMP
守护进程进行管理。导出的网桥 MIB 符和 IETF 标准,
所以任何 SNMP 客户端或管理包都可以被用来接收数据。
在网桥机器上从/etc/snmp.config
文件中去掉以下这行的注释
begemotSnmpdModulePath."bridge" =
"/usr/lib/snmp_bridge.so"
并启动 bsnmpd 守护进程。
其他的配置选项诸如 community names 和 access lists
可能也许也需要修改。 参阅 &man.bsnmpd.1; 和
&man.snmp.bridge.3; 获取更多信息。
以下的例子中使用了
Net-SNMP 软件
(net-mgmt/net-snmp)
来查询一个网桥,当然同样也能够使用port
net-mgmt/bsnmptools。
在 SNMP 客户端 Net-SNMP
的配置文件 $HOME/.snmp/snmp.conf 中
加入以下几行来导入网桥的 MIB 定义:
mibdirs +/usr/share/snmp/mibs
mibs +BRIDGE-MIB:RSTP-MIB:BEGEMOT-MIB:BEGEMOT-BRIDGE-MIB
通过 IETF BRIDGE-MIB(RFC4188) 监测一个单独的网桥
&prompt.user; snmpwalk -v 2c -c public bridge1.example.com mib-2.dot1dBridge
BRIDGE-MIB::dot1dBaseBridgeAddress.0 = STRING: 66:fb:9b:6e:5c:44
BRIDGE-MIB::dot1dBaseNumPorts.0 = INTEGER: 1 ports
BRIDGE-MIB::dot1dStpTimeSinceTopologyChange.0 = Timeticks: (189959) 0:31:39.59 centi-seconds
BRIDGE-MIB::dot1dStpTopChanges.0 = Counter32: 2
BRIDGE-MIB::dot1dStpDesignatedRoot.0 = Hex-STRING: 80 00 00 01 02 4B D4 50
...
BRIDGE-MIB::dot1dStpPortState.3 = INTEGER: forwarding(5)
BRIDGE-MIB::dot1dStpPortEnable.3 = INTEGER: enabled(1)
BRIDGE-MIB::dot1dStpPortPathCost.3 = INTEGER: 200000
BRIDGE-MIB::dot1dStpPortDesignatedRoot.3 = Hex-STRING: 80 00 00 01 02 4B D4 50
BRIDGE-MIB::dot1dStpPortDesignatedCost.3 = INTEGER: 0
BRIDGE-MIB::dot1dStpPortDesignatedBridge.3 = Hex-STRING: 80 00 00 01 02 4B D4 50
BRIDGE-MIB::dot1dStpPortDesignatedPort.3 = Hex-STRING: 03 80
BRIDGE-MIB::dot1dStpPortForwardTransitions.3 = Counter32: 1
RSTP-MIB::dot1dStpVersion.0 = INTEGER: rstp(2)
dot1dStpTopChanges.0的值为2
意味着 STP 网桥拓扑改变了2次,拓扑的改变表示1个或多个
网络中的连接改变或失效并且有一个新树生成。
dot1dStpTimeSinceTopologyChange.0
的值则能够显示这是何时改变的。
监测多个网桥接口可以使用 private
BEGEMOT-BRIDGE-MIB:
&prompt.user; snmpwalk -v 2c -c public bridge1.example.com
enterprises.fokus.begemot.begemotBridge
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseName."bridge0" = STRING: bridge0
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseName."bridge2" = STRING: bridge2
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseAddress."bridge0" = STRING: e:ce:3b:5a:9e:13
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseAddress."bridge2" = STRING: 12:5e:4d:74:d:fc
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseNumPorts."bridge0" = INTEGER: 1
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseNumPorts."bridge2" = INTEGER: 1
...
BEGEMOT-BRIDGE-MIB::begemotBridgeStpTimeSinceTopologyChange."bridge0" = Timeticks: (116927) 0:19:29.27 centi-seconds
BEGEMOT-BRIDGE-MIB::begemotBridgeStpTimeSinceTopologyChange."bridge2" = Timeticks: (82773) 0:13:47.73 centi-seconds
BEGEMOT-BRIDGE-MIB::begemotBridgeStpTopChanges."bridge0" = Counter32: 1
BEGEMOT-BRIDGE-MIB::begemotBridgeStpTopChanges."bridge2" = Counter32: 1
BEGEMOT-BRIDGE-MIB::begemotBridgeStpDesignatedRoot."bridge0" = Hex-STRING: 80 00 00 40 95 30 5E 31
BEGEMOT-BRIDGE-MIB::begemotBridgeStpDesignatedRoot."bridge2" = Hex-STRING: 80 00 00 50 8B B8 C6 A9
通过 mib-2.dot1dBridge
子树改变正在被监测的网桥接口:
&prompt.user; snmpset -v 2c -c private bridge1.example.com
BEGEMOT-BRIDGE-MIB::begemotBridgeDefaultBridgeIf.0 s bridge2
Andrew
Thompson
Written by
链路聚合与故障转移
lagg
failover (故障转移)
fec
lacp
loadbalance (负载均衡)
roundrobin (轮转)
介绍
使用 &man.lagg.4; 接口, 能够将多个网络接口聚合为一个虚拟接口,
以提供容灾和高速连接的能力。
运行模式
failover (故障转移)
只通过主网口收发数据。 如果主网口不可用, 则使用下一个激活的网口。
您在这里加入的第一个网口便会被视为主网口; 此后加入的其他网口,
则会被视为故障转移的备用网口。
fec
用以支持 Cisco EtherChannel。 这是一种静态配置,
并不进行节点间协商或交换以太网帧来监控链路情况。
如果交换机支持 LACP, 则应使用后者而非这种配置。
这种做法是将输出流量在激活的网口之间以协议头散列信息为依据分拆,
并接收来自任意激活网口的入流量。 散列信息包含以太网源地址、
目的地址, 以及 (如果有的话) VLAN tag 和 IPv4/IPv6 源地址及目的地址信息。
lacp
支持 IEEE 802.3ad 链路聚合控制协议
(LACP) 和标记协议。 LACP 能够在节点与若干链路聚合组之间协商链路。
每一个链路聚合组 (LAG) 由一组相同速度、 以全双工模式运行的网口组成。
流量在 LAG 中的网口之间, 会以总速度最大的原则进行分摊。
当物理链路发生变化时, 链路聚合会迅速适应变动形成新的配置。
这种做法也是将输出流量在激活的网口之间以协议头散列信息为依据分拆,
并接收来自任意激活网口的入流量。 散列信息包含以太网源地址、
目的地址, 以及 (如果有的话) VLAN tag 和 IPv4/IPv6 源地址及目的地址信息。
loadbalance (负载均衡)
这是 fec 模式的别名。
roundrobin (轮转)
将输出流量以轮转方式在所有激活端口之间调度, 并从任意激活端口接收进入流量。
这种模式违反了以太网帧排序规则, 因此应小心使用。
例子
与 Cisco 交换机配合完成 LACP 链路聚合
在这个例子中, 我们将 &os; 的两个网口作为一个负载均衡和故障转移链路聚合组接到交换机上。
在此基础上, 还可以增加更多的网口, 以提高吞吐量和故障容灾能力。
由于以太网链路上两节点间的帧序是强制性的, 因此两个节点之间的连接速度,
会取决于一块网卡的最大速度。 传输算法会尽量采用更多的信息,
以便将不同的网络流量分摊到不同的网络接口上, 并平衡不同网口的负载。
在 Cisco 交换机上将网口添加到通道组 (channel group) 中。
interface FastEthernet0/1
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/2
channel-group 1 mode active
channel-protocol lacp
!
在 &os; 机器上创建 lagg 接口。
&prompt.root; ifconfig lagg0 create
&prompt.root; ifconfig lagg0 up laggproto lacp laggport fxp0 laggport fxp1
从 ifconfig 查看接口状态: 标记为
ACTIVE 的接口属于激活的聚合组,
并且已经完成了与交换机的协商过程, 能够收发网络流量了。
您可以利用 &man.ifconfig.8;
的输出细节来检视 LAG 标识。
lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:05:5d:71:8d:b8
media: Ethernet autoselect
status: active
laggproto lacp
laggport: fxp1 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING>
laggport: fxp0 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING>
交换机上会显示哪些端口是激活的。 如果需要了解更多细节, 则可以使用
show lacp neighbor detail。
switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 1 neighbors
Partner's information:
LACP port Oper Port Port
Port Flags Priority Dev ID Age Key Number State
Fa0/1 SA 32768 0005.5d71.8db8 29s 0x146 0x3 0x3D
Fa0/2 SA 32768 0005.5d71.8db8 29s 0x146 0x4 0x3D
故障转移模式
故障转移模式可以用于在主端口连接中断时切换到备用端口。
&prompt.root; ifconfig lagg0 create
&prompt.root; ifconfig lagg0 up laggproto failover laggport fxp0 laggport fxp1
lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:05:5d:71:8d:b8
media: Ethernet autoselect
status: active
laggproto failover
laggport: fxp1 flags=0<>
laggport: fxp0 flags=5<MASTER,ACTIVE>
系统将在
fxp0 上进行流量的收发。 如果
fxp0 的连接中断, 则 fxp1
会自动成为激活连接。 如果主端口的连接恢复, 则它又会成为激活连接。
Jean-François
Dockès
更新:
Alex
Dupre
重新组织及增强:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
袁
苏义
无盘操作
无盘工作站
无盘操作
FreeBSD 主机可以从网络启动而无需本地磁盘就可操作,
使用的是从 NFS 服务器装载的文件系统。
除了标准的配置文件,无需任何的系统修改。
很容易设置这样的系统因为所有必要的元素都很容易得到:
至少有两种可能的方法从网络加载内核:
PXE:&intel;
的先启动执行环境 (Preboot eXecution Environment)
系统是一种灵活的引导 ROM 模式,这个 ROM
内建在一些网卡或主板的中。查看 &man.pxeboot.8;
以获取更多细节。
Etherboot port (net/etherboot)
产生通过网络加载内核的可 ROM 代码。这些代码可以烧入网卡上的
PROM 上,或从本地软盘 (或硬盘) 驱动器加载,或从运行着的
&ms-dos; 系统加载。它支持多种网卡。
一个样板脚本
(/usr/share/examples/diskless/clone_root)
简化了对服务器上的工作站根文件系统的创建和维护。
这个脚本需要少量的自定义,但您能很快的熟悉它。
/etc
存在标准的系统启动文件用于侦测和支持无盘的系统启动。
可以向 NFS
文件或本地磁盘进行交换(如果需要的话)。
设置无盘工作站有许多方法。
有很多相关的元素大部分可以自定义以适合本地情况。
以下将介绍一个完整系统的安装,强调的是简单性和与标准
FreeBSD 启动脚本的兼容。介绍的系统有以下特性:
无盘工作站使用一个共享的只读 /
文件系统和一个共享的只读/usr。
root 文件系统是一份标准的 FreeBSD 根文件系统
(一般是服务器的),只是一些配置文件被特定于无盘操作的配置文件覆盖。
root 文件系统必须可写的部分被 &man.md.4; 文件系统覆盖。
任何的改写在重启后都会丢失。
内核由 etherboot 或
PXE 传送和加载,
有些情况可能会指定使用其中之一。
如上所述,这个系统是不安全的。
它应该处于网络的受保护区域并不被其它主机信任。
这部分所有的信息均在
5.2.1-RELEASE 上测试过。
背景信息
设置无盘工作站相对要简单而又易出错。
有时分析一些原因是很难的。例如:
编译时选项在运行时可能产生不同的行为。
出错信息经常是加密了的或根本就没有。
在这里,
涉及到的一些背景知识对于可能出现的问题的解决是很有帮助的。
要成功地引导系统还有些操作需要做。
机子需要获取初始的参数,如它的 IP
地址、执行文件、服务器名、根路径。这个可以使用
或 BOOTP 协议来完成。
DHCP 是 BOOTP 的兼容扩展,
并使用相同的端口和基本包格式。
只使用 BOOTP 来配置系统也是可行的。
&man.bootpd.8; 服务程序被包含在基本的
&os; 系统里。
不过,DHCP 相比
BOOTP 有几个好处 (更好的配置文件,使用 PXE
的可能性,以及许多其它并不直接相关的无盘操作),
接着我们会要描述一个 DHCP 配置,
可能的话会利用与使用 &man.bootpd.8;
相同的例子。这个样板配置会使用ISC DHCP
软件包 (3.0.1.r12 发行版安装在测试服务器上)。
机子需要传送一个或多个程序到本地内存。
TFTP 或 NFS
会被使用。选择TFTP 还是 NFS
需要在几个地方的编译时间
选项里设置。
通常的错误源是为文件名指定了错误的协议:TFTP
通常从服务器里的一个单一目录传送所有文件,并需要相对这个目录的文件名。
NFS 需要的是绝对文件路径。
介于启动程序和内核之间的可能的部分需要被初始化并执行。
在这部分有几个重要的变量:
PXE 会装入
&man.pxeboot.8;——它是 &os; 第三阶段装载器的修改版。
&man.loader.8; 会获得许多参数用于系统启动,
并在传送控制之前把它们留在内核环境里。
在这种情况下,使用 GENERIC
内核就可能了。
Etherboot
会做很少的准备直接装载内核。
您要使用指定的选项建立 (build) 内核。
PXE 和
Etherboot 工作得一样的好。
不过, 因为一般情况下内核希望 &man.loader.8;
做了更多的事情, PXE 是推荐的方法。
如果您的 BIOS 和网卡都支持
PXE, 就应该使用它。
最后,机子需要访问它的文件系统。
NFS 使用在所有的情况下。
查看 &man.diskless.8; 手册页。
安装说明
配置使用<application>ISC DHCP</application>
DHCP
无盘操作
ISC DHCP
服务器可以回应 BOOTP 和 DHCP
的请求。
ISC DHCP 3.0
并不属于基本系统。首先您需要安装
net/isc-dhcp3-server
port 或相应的包
。
一旦安装了 ISC DHCP,
还需要一个配置文件才能运行 (通常名叫
/usr/local/etc/dhcpd.conf)。
这里有个注释过的例子,里边主机 margaux
使用 Etherboot,
而主机corbieres 使用 PXE:
default-lease-time 600;
max-lease-time 7200;
authoritative;
option domain-name "example.com";
option domain-name-servers 192.168.4.1;
option routers 192.168.4.1;
subnet 192.168.4.0 netmask 255.255.255.0 {
use-host-decl-names on;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.4.255;
host margaux {
hardware ethernet 01:23:45:67:89:ab;
fixed-address margaux.example.com;
next-server 192.168.4.4;
filename "/data/misc/kernel.diskless";
option root-path "192.168.4.4:/data/misc/diskless";
}
host corbieres {
hardware ethernet 00:02:b3:27:62:df;
fixed-address corbieres.example.com;
next-server 192.168.4.4;
filename "pxeboot";
option root-path "192.168.4.4:/data/misc/diskless";
}
}
这个选项告诉 dhcpd
发送host 里声明的用于无盘主机的主机名的值。
另外可能会增加一个
option host-name margaux
到 host 声明里。
next-server 正式指定
TFTP 或 NFS
服务用于载入装载器或内核文件
(默认使用的是相同的主机作为DHCP
服务器)。
filename
正式定义这样的文件——etherboot
或 PXE 为执行下一步将装载它。
根据使用的传输方式,它必须要指定。
Etherboot 可以被编译来使用
NFS 或 TFTP。
&os; port 默认配置了NFS。
PXE 使用 TFTP,
这就是为什么在这里使用相对文件名 (这可能依赖于
TFTP 服务器配置,不过会相当典型)。
同样,PXE 会装载 pxeboot,
而不是内核。另外有几个很有意思的可能,如从 &os; CD-ROM
的 /boot 目录装载
pxeboot (因为 &man.pxeboot.8; 能够装载
GENERIC 内核,这就使得可以使用
PXE 从远程的 CD-ROM 里启动)。
root-path 选项定义到根
(root) 文件系统的路径,通常是 NFS
符号。当使用 PXE 时,只要您不启用内核里的
BOOTP 选项,可以不管主机的IP。NFS
服务器然后就如同 TFTP 一样。
配置使用BOOTP
BOOTP
无盘操作
这里紧跟的是一个等效的 bootpd
配置 (减少到一个客户端)。这个可以在
/etc/bootptab 里找到。
请注意:为了使用BOOTP,etherboot
必须使用非默认选项 NO_DHCP_SUPPORT
来进行编译,而且 PXE 需要
DHCP。bootpd
的唯一可见的好处是它存在于基本系统中。
.def100:\
:hn:ht=1:sa=192.168.4.4:vm=rfc1048:\
:sm=255.255.255.0:\
:ds=192.168.4.1:\
:gw=192.168.4.1:\
:hd="/tftpboot":\
:bf="/kernel.diskless":\
:rp="192.168.4.4:/data/misc/diskless":
margaux:ha=0123456789ab:tc=.def100
使用<application>Etherboot</application>准备启动程序
Etherboot
Etherboot
的网站 包含有更多的文档
——主要瞄准的是 Linux 系统,但无疑包含有有用的信息。
如下列出的是关于在 FreeBSD 系统里使用
Etherboot。
首先您必须安装net/etherboot 包或 port。
您可以改变 Etherboot 的配置
(如使用 TFTP 来代替 NFS),
方法是修改 Config 文件——在
Etherboot 源目录里。
对于我们的设置,我们要使用一张启动软盘。
对于其它的方法(PROM,或 &ms-dos;程序),
请参考 Etherboot 文档。
想要使用启动软盘,先插入一张软盘到安装有
Etherboot 的机器的驱动器里,
然后把当前路径改到 src
目录——在 Etherboot 树下,
接着输入:
&prompt.root; gmake bin32/devicetype.fd0
devicetype
依赖于无盘工作站上的以太网卡的类型。
参考在同一个目录下的 NIC
文件确认正确的 devicetype。
使用<acronym>PXE</acronym>启动
默认地,&man.pxeboot.8; 装载器通过 NFS
装载内核。它可以编译来使用 TFTP——通过在文件
/etc/make.conf 里指定
LOADER_TFTP_SUPPORT 选项来代替。 请参见
/usr/share/examples/etc/make.conf 里的注释
了解如何配置。
除此之外还有两个未说明的 make.conf
选项——它可能对于设置一系列控制台无盘机器会有用:
BOOT_PXELDR_PROBE_KEYBOARD和
BOOT_PXELDR_ALWAYS_SERIAL。
当机器启动里,要使用 PXE,
通常需要选择 Boot from network
选项——在 BIOS 设置里,
或者在 PC 初始化的时候输入一个功能键 (function key)。
配置 <acronym>TFTP</acronym> 和 <acronym>NFS</acronym> 服务器
TFTP
无盘操作
NFS
无盘操作
如果您正在使用 PXE 或
Etherboot——配置使用了
TFTP,那么您需要在文件服务器上启用
tftpd:
建立一个目录——从那里 tftpd
可以提供文件服务,如 /tftpboot。
把这一行加入到 /etc/inetd.conf里:
tftp dgram udp wait root /usr/libexec/tftpd tftpd -l -s /tftpboot
好像有一些版本的 PXE
需要 TCP 版本的 TFTP。
在这种情况下,加入第二行,使用 stream tcp
来代替 dgram udp。
让 inetd 重读其配置文件。
要正确执行这个命令, 在 /etc/rc.conf 文件中必须加入
:
&prompt.root; /etc/rc.d/inetd restart
您可把 tftpboot 目录放到服务器上的什何地方。
确定这个位置设置在 inetd.conf 和
dhcpd.conf 里。
在所有的情况下,您都需要启用 NFS,
并且 NFS 服务器上导出相应的文件系统。
把这一行加入到/etc/rc.conf里:
nfs_server_enable="YES"
通过往 /etc/exports
里加入下面几行(调整载入点
列,
并且使用无盘工作站的名字替换
margaux corbieres),
导出文件系统——无盘根目录存在于此:
/data/misc -alldirs -ro margaux corbieres
让 mountd
重读它的配置文件。如果您真的需要启用第一步的
/etc/rc.conf 里 NFS,
您可能就要重启系统了。
&prompt.root; /etc/rc.d/mountd restart
建立无盘内核
无盘操作
内核配置
如果您在使用 Etherboot,
您需要为无盘客户端建立内核配置文件,
使用如下选项(除了常使用的外):
options BOOTP # Use BOOTP to obtain IP address/hostname
options BOOTP_NFSROOT # NFS mount root filesystem using BOOTP info
您可能也想使用 BOOTP_NFSV3,
BOOT_COMPAT 和 BOOTP_WIRED_TO
(参考 NOTES 文件)。
这些名字具有历史性,并且有些有些误导,
因为它们实际上启用了内核里 (它可能强制限制 BOOTP 或
DHCP 的使用),与 DHCP
和 BOOTP 的无关的应用。
编译内核(参考),
然后将它复制到 dhcpd.conf
里指定的地方。
当使用 PXE 里,
使用以上选项建立内核并不做严格要求(尽管建议这样做)。
启用它们会在内核启动时引起更多的 DHCP
提及过的请求,带来的小小的风险是在有些特殊情况下新值和由
&man.pxeboot.8; 取回的值之间的不一致性。
使用它们的好处是主机名会被附带设置。否则,
您就需要使用其它的方法来设置主机名,如在客户端指定的
rc.conf 文件里。
为了使带有 Etherboot
的内核可引导,就需要把设备提示 (device hint)
编译进去。通常要在配置文件(查看 NOTES
配置注释文件) 里设置下列选项:
hints "GENERIC.hints"
准备根(root)文件系统
根文件系统
无盘操作
您需要为无盘工作站建立根文件系统, 它就是
dhcpd.conf 里的 root-path
所指定的目录。
使用 <command>make world</command> 来复制根文件系统
这种方法可以迅速安装一个彻底干净的系统 (不仅仅是根文件系统) 到
DESTDIR。 您要做的就是简单地执行下面的脚本:
#!/bin/sh
export DESTDIR=/data/misc/diskless
mkdir -p ${DESTDIR}
cd /usr/src; make buildworld && make buildkernel
cd /usr/src/etc; make distribution
一旦完成,您可能需要定制 /etc/rc.conf
和 /etc/fstab——根据您的需要放到
DESTDIR里。
配置 swap(交换)
如果需要,位于服务器上的交换文件可以通过
NFS 来访问。
<acronym>NFS</acronym> 交换区
内核并不支持在引导时启用 NFS
交换区。 交换区必须通过启动脚本启用, 其过程是挂接一个可写的文件系统,
并在其上创建并启用交换文件。 要建立尺寸合适的交换文件,
可以这样做:
&prompt.root; dd if=/dev/zero of=/path/to/swapfile bs=1k count=1 oseek=100000
要启用它,您须要把下面几行加到
rc.conf里:
swapfile=/path/to/swapfile
杂项问题
运行时 <filename>/usr</filename> 是只读在
无盘操作
只读的 /usr
如果无盘工作站是配置来支持 X,
那么您就必须调整 XDM
配置文件,因为它默认把错误信息写到
/usr。
使用非 FreeBSD 服务器
当用作根文件系统的服务器运行的是不
FreeBSD,您须要在 FreeBSD 机器上建立根文件系统,
然后把它复制到它的目的地,使用的命令可以是
tar 或 cpio。
在这种情况下,有时对于 /dev
里的一些特殊的文件会有问题,原因就是不同的
最大/最小
整数大小。
一种解决的方法就是从非 FreeBSD 服务里导出一个目录,
并把它载入 FreeBSD 到机子上, 并使用 &man.devfs.5;
来为用户透明地分派设备节点。
ISDN
ISDN
关于 ISDN 技术和硬件的一个好的资源是Dan Kegel
的 ISDN 主页。
一个快速简单的到 ISDN 的路线图如下:
如果您住在欧洲,您可能要查看一下 ISDN 卡部分。
如果您正计划首要地使用 ISDN
基于拨号非专用线路连接到带有提供商的互联网,
您可能要了解一下终端适配器。如果您更改提供商的话,
这会给您带来最大的灵活性、最小的麻烦。
如果您连接了两个局域网 (LAN),或使用了专用的
ISDN 连线连接到互联网,您可能要考虑选择单独的路由器/网桥。
在决定选择哪一种方案的时候,价格是个很关键的因素。
下面列有从不算贵到最贵的选择:
Hellmuth
Michaelis
贡献者:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
ISDN 卡
ISDN
卡
FreeBSD 的 ISDN 工具通过被动卡
(passive card) 仅支持 DSS1/Q.931(或 Euro-ISDN) 标准。
此外也支持一些 active card, 它们的固件也支持其它信号协议,
这其中包括最先得到支持的
Primary Rate (PRI) ISDN
卡。
isdn4bsd 软件允许连接到其它
ISDN 路由器,使用的是原始的 HDLC 上的 IP 或利用同步 PPP:使用带有
isppp (一个修改过的 &man.sppp.4; 驱动程序)的
PPP 内核,或使用用户区 (userland) &man.ppp.8;。通过使用
userland &man.ppp.8;,两个或更多 ISDN 的 B 通道联结变得可能。
除了许多如 300 波特 (Baud) 的软 modem 一样的工具外,
还可以实现电话应答机应用。
在 FreeBSD 里,正有更多的 PC ISDN 卡被支持;
报告显示在整个欧洲及世界的其它许多地区可以成功使用。
被支持的主动型 ISDN 卡主要是带有 Infineon (以前的 Siemens)
ISAC/HSCX/IPAC ISDN 芯片组,另外还有带有 Cologne (只有 ISA 总线)
芯片的 ISDN 卡、带有 Winbond W6692 芯片的 PCI 卡、一部分带有
Tiger300/320/ISAC 芯片组的卡以及带有一些商家专有的芯片组的卡
(如 AVM Fritz!Card PCI V.1.0 和 the AVM Fritz!Card PnP)。
当前积极的支持的 ISDN 卡有 AVM B1 (ISA 和 PCI) BRI
卡和 AVM T1 PCI PRI 卡。
关于 isdn4bsd 的文档,请查看
FreeBSD 系统里的 /usr/share/examples/isdn/
目录或查看 isdn4bsd的主页,
那里也有提示、勘误表以及更多的文档 (如 isdn4bsd手册)。
要是您有兴趣增加对不同 ISDN 协议的支持,对当前还不支持的
ISDN PC 卡的支持或想增强 isdn4bsd
的性能,请联系 &a.hm;。
对于安装、配置以及 isdn4bsd
故障排除的问题,可以利用 &a.isdn.name; 邮件列表。
ISDN 终端适配器
终端适配器 (TA) 对于 ISDN 就好比 modem 对于常规电话线。
modem
许多 TA 使用标准的 Hayes modem AT 命令集,并且可以降级来代替 modem。
TA 基本的运作同 modem 一样,不同之处是连接和整个速度更比老
modem 更快。同 modem 的安装一样,您也需要配置
PPP。确认您的串口速度已足够高。
PPP
使用 TA 连接互联网提供商的主要好处是您可以做动态的 PPP。
由于 IP 地址空间变得越来越紧张,许多提供商都不愿再提供静态
IP。许多的独立的路由器是不支持动态 IP 分配的。
TA 完全依赖于您在运行的 PPP 进程,
以完成它们的功能和稳定的连接。这可以让您在 FreeBSD
机子里轻易地从使用 modem 升级到 ISDN,要是您已经安装了
PPP 的话。只是,在您使用 PPP 程序时所体验到任何问题同时也存在。
如果您想要最大的稳定性,请使用 PPP 内核选项,而不要使用 userland PPP。
下面的 TA 就可以同 FreeBSD 一起工作:
Motorola BitSurfer 和 Bitsurfer Pro
Adtran
大部分其它的 TA 也可能工作,TA
提供商试图让他们的产品可以接受大部分的标准 modem AT 命令集。
对于外置 TA 的实际问题是:象 modem
要一样,您机子需要有一个好的串行卡。
想要更深入地理解串行设备以及异步和同步串口这间的不同点,
您就要读读 FreeBSD
串行硬件教程了。
TA 将标准的 PC 串口 (同步的) 限制到了 115.2 Kbs,即使您有
128 Kbs 的连接。 想要完全利用 ISDN 有能力达到的 128 Kbs,您就需要把
TA 移到同步串行卡上。
当心被骗去买一个内置的 TA 以及自认为可以避免同步/异步问题。内置的
TA 只是简单地将一张标准 PC 串口芯片内建在里边。
所做的这些只是让您省去买另一根串行线以及省去寻找另一个空的插孔。
带有 TA 的同步卡至少和一个独立的路由器同一样快地,
而且仅使用一个简单的 386 FreeBSD 盒驱动它。
选择同步卡/TA 还是独立的路由器,是个要高度谨慎的问题。
在邮件列表里有些相关的讨论。我们建议您去搜索一下关于完整讨论的记录。
单独的 ISDN 桥/路由器
ISDN
单独的 桥/路由器
ISDN 桥或路由器根本就没有指定要 FreeBSD
或其它任何的操作系统。更多完整的关于路由和桥接技术的描述,
请参考网络指南的书籍。
这部分的内容里,路由器和桥接这两个词汇将会交替地使用。
随着 ISDN 路由器/桥的价格下滑,对它们的选择也会变得越来越流行。
ISDN 路由器是一个小盒子,可以直接地接入您的本地以太网,
并且自我管理到其它桥/路由器的连接。它有个内建的软件用于与通信——通过
PPP 和其它流行的协议。
路由器有比标准 TA 更快的吞吐量,因为它会使用完全同步的 ISDN 连接。
使用 ISDN 路由器和桥的主要问题是两个生产商之间的协同性仍存在问题。
如果您计划连接到互联网提供商,您应该跟他们进行交涉。
如果您计划连接两个局域网网段,如您的家庭网和办公网,
这将是最简单最低维护的解决方案。因为您买的设备是用于连接两边的,
可以保证这种连接一定会成功。
例如连接到家里的计算机,或者是办公网里的一个分支连接到办公主网,
那么下面的设置就可能用到:
办公室局部或家庭网
10 base 2
网络使用基于总线拓扑的 10 base 2 以太网
(瘦网(thinnet)
)。如果有必要,用网线连接路由器和
AUI/10BT 收发器。
---Sun workstation
|
---FreeBSD box
|
---Windows 95
|
Stand-alone router
|
ISDN BRI line
10 Base 2 Ethernet
如果您的家里或办公室支部里只有一台计算机,
您可以使用一根交叉的双绞线直接连接那台独立路由器。
主办公室或其它网络
10 base T
网络使用的是星形拓扑的 10 base T 以太网(双绞线
)。
-------Novell Server
| H |
| ---Sun
| |
| U ---FreeBSD
| |
| ---Windows 95
| B |
|___---Stand-alone router
|
ISDN BRI line
ISDN Network Diagram
大部分路由器/网桥有一大好处就是,它们允许您在
同一 时间,有两个 分开独立的
PPP 连接到两个分开的点上。这点在许多的 TA 上是不支持的,
除非带有两个串口的特定模式(通常都很贵)。请不要把它与通道连接、MPP
等相混淆。
这是个非常有用的功能,例如,如果在您的办公室里您有个专有的
ISDN 连接,而且您想接入到里边,但休想让另一根 ISDN 线也能工作。
办公室里的路由器能够管理专有的B通道连接到互联网 (64 Kbps)
以及使用另一个通道 B 来完成单独的数据连接。 第二个 B
通道可以用于拨进、拨出或动态与第一个B通道进行连接
(MPP等),以获取更大宽带。
IPX/SPX
以太网桥也允许您传输的不仅仅是 IP 通信。您也可以发送
IPX/SPX 或其它任何您所使用的协议。
Chern
Lee
作者:
李
鑫
译者:
delphij@FreeBSD.org.cn
网络地址转换
概要
natd
FreeBSD 的网络地址转换服务, 通常也被叫做
&man.natd.8;, 是一个能够接收连入的未处理 IP 包,
将源地址修改为本级地址然后重新将这些包注入到发出
IP 包流中。 &man.natd.8; 同时修改源地址和端口,
当接收到响应数据时,它作逆向转换以便把数据发回原先的请求者。
Internet 连接共享
NAT
NAT 最常见的用途是为人们所熟知的
Internet 连接共享。
安装
随着 IPv4 的 IP 地址空间的日益枯竭,
以及使用如 DSL 和电缆等高速连接的用户的逐渐增多,
越来越多的人开始需要 Internet 连接共享这样的解决方案。
由于能够将许多计算机通过一个对外的 IP 地址进行接入,
&man.natd.8; 成为了一个理想的选择。
更为常见的情况, 一个用户通过电缆或者 DSL 线路
接入,并拥有一个 IP 地址,同时,希望通过这台接入
Internet 的计算机来为
LAN 上更多的计算机提供接入服务。
为了完成这一任务, 接入 Internet 的 FreeBSD
机器必须扮演网关的角色。
这台网关必须有两块网卡 — 一块用于连接
Internet 路由器, 另一块用来连接 LAN。 所有 LAN
上的机器通过 Hub 或交换机进行连接。
有多种方法能够通过 &os; 网关将 LAN 接入 Internet。
这个例子只介绍了有至少两块网卡的网关。
_______ __________ ________
| | | | | |
| Hub |-----| Client B |-----| Router |----- Internet
|_______| |__________| |________|
|
____|_____
| |
| Client A |
|__________|
Network Layout
上述配置被广泛地用于共享 Internet 连接。
LAN 中的一台机器连接到 Internet 中。
其余的计算机则通过那台 网关
机来连接 Internet。
内核
配置
配置
下面这些选项必须放到内核配置文件中:
options IPFIREWALL
options IPDIVERT
此外,下列是一些可选的选项:
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_VERBOSE
这些配置必须放到 /etc/rc.conf 中:
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="fxp0"
natd_flags=""
将机器配置为网关。 执行
sysctl net.inet.ip.forwarding=1 效果相同。
在启动时启用
/etc/rc.firewall 中的防火墙规则。
指定一个预定义的允许所有包进入的防火墙规则集。 参见
/etc/rc.firewall 以了解其他类型的规则集。
指定通过哪个网络接口转发包
(接入 Internet 的那一个)。
其他希望在启动时传递给
&man.natd.8; 的参数。
在 /etc/rc.conf 中加入上述选项将在系统启动时运行
natd -interface fxp0。 这一工作也可以手工完成。
当有太多选项要传递时,也可以使用一个 &man.natd.8;
的配置文件来完成。这种情况下,这个配置文件必须通过在
/etc/rc.conf 里增加下面内容来定义:
natd_flags="-f /etc/natd.conf"
/etc/natd.conf 文件会包含一个配置选项列表,
每行一个。在紧跟部分的例子里将使用下面的文件:
redirect_port tcp 192.168.0.2:6667 6667
redirect_port tcp 192.168.0.3:80 80
关于配置文件的更多信息,参考 &man.natd.8; 手册页中关于
选项那一部分。
在LAN后面的每一台机子和接口应该被分配私有地址空间(由RFC 1918定义)
里的 IP 地址,并且默认网关设成 natd
机子的内连 IP 地址。
例如:客户端 A 和 B 在
LAN 后面,IP 地址是 192.168.0.2 和 192.168.0.3,同时 natd 机子的 LAN 接口上的 IP 地址是 192.168.0.1。客户端 A 和
B 的默认网关必须要设成 natd
机子的 IP——192.168.0.1。natd
机子外连,或互联网接口不需要为了 &man.natd.8;
而做任何特别的修改就可工作。
端口重定向
使用 &man.natd.8; 的缺点就是 LAN 客户不能从互联网访问。LAN
上的客户可以进行到外面的连接,而不能接收进来的连接。如果想在
LAN 的客户端机子上运行互联网服务,这就会有问题。
对此的一种简单方法是在 natd
机子上重定向选定的互联网端口到 LAN 客户端。
例如:在客户端 A 上运行 IRC
服务,而在客户端 B 上运行 web 服务。
想要正确的工作,在端口 6667 (IRC) 和 80 (web)
上接收到的连接就必须重定向到相应的机子上。
需要使用适当的选项传送给 &man.natd.8;。语法如下:
-redirect_port proto targetIP:targetPORT[-targetPORT]
[aliasIP:]aliasPORT[-aliasPORT]
[remoteIP[:remotePORT[-remotePORT]]]
在上面的例子中,参数应该是:
-redirect_port tcp 192.168.0.2:6667 6667
-redirect_port tcp 192.168.0.3:80 80
这就会重定向适当的 tcp 端口到 LAN 上的客户端机子。
参数可以用来指出端口范围来代替单个端口。例如,
tcp 192.168.0.2:2000-3000 2000-3000
就会把所有在端口 2000 到 3000 上接收到的连接重定向到主机
A 上的端口 2000 到 3000。
当直接运行 &man.natd.8; 时,就可以使用这些选项,
把它们放到 /etc/rc.conf 里的
natd_flags="" 选项上,
或通过一个配置文件进行传送。
想要更多配置选项,请参考 &man.natd.8;。
地址重定向
地址重定向
如果有几个 IP 地址提供,那么地址重定向就会很有用,
然而他们必须在一个机子上。使用它,&man.natd.8;
就可以分配给每一个 LAN 客户端它们自己的外部 IP 地址。&man.natd.8;
然后会使用适当的处部 IP 地址重写从 LAN 客户端外出的数据包,
以及重定向所有进来的数据包——一定的 IP 地址回到特定的
LAN 客户端。这也叫做静态 NAT。例如,IP 地址
128.1.1.1、
128.1.1.2 和
128.1.1.3 属于
natd 网关机子。
128.1.1.1 可以用来作
natd 网关机子的外连 IP 地址,而
128.1.1.2 和
128.1.1.3 用来转发回 LAN 客户端
A 和 B。
语法如下:
-redirect_address localIP publicIP
localIP
LAN 客户端的内部 IP 地址。
publicIP
相应 LAN 客户端的外部 IP 地址。
在这个例子里,参数是:
-redirect_address 192.168.0.2 128.1.1.2 -redirect_address 192.168.0.3 128.1.1.3
象 一样,这些参数也是放在
/etc/rc.conf 里的
natd_flags="" 选项上,
或通过一个配置文件传送给它。使用地址重定向,
就没有必要用端口重定向了,因为所有在某个 IP
地址上收到的数据都被重定向了。
在 natd 机子上的外部 IP
地址必须激活并且别名到 (aliased) 外连接口。要这做就看看
&man.rc.conf.5;。
并口电缆 IP (PLIP)
PLIP
并口电缆 IP
PLIP
PLIP 允许我们在两个并口间运行 TCP/IP。
在使用笔记本电脑, 或没有网卡的计算机时, 这会非常有用。
这一节中, 我们将讨论:
制作用于并口的 (laplink) 线缆。
使用 PLIP 连接两台计算机。
制作并口电缆。
您可以在许多计算机供应店里买到并口电缆。
如果买不到, 或者希望自行制作, 则可以参阅下面的表格,
它介绍了如何利用普通的打印机并口电缆来改制:
用于网络连接的并口电缆接线方式
A-name
A 端
B 端
描述
Post/Bit
DATA0 -ERROR
2 15
15 2
数据
0/0x01 1/0x08
DATA1 +SLCT
3 13
13 3
数据
0/0x02 1/0x10
DATA2 +PE
4 12
12 4
数据
0/0x04 1/0x20
DATA3 -ACK
5 10
10 5
脉冲 (Strobe)
0/0x08 1/0x40
DATA4 BUSY
6 11
11 6
数据
0/0x10 1/0x80
GND
18-25
18-25
GND
-
设置 PLIP
首先,您需要一根 laplink 线。然后,
确认两台计算机的内核都有对 &man.lpt.4;
驱动程序的支持:
&prompt.root; grep lp /var/run/dmesg.boot
lpt0: <Printer> on ppbus0
lpt0: Interrupt-driven port
并口必须是一个中断驱动的端口, 您应在
/boot/device.hints 文件中配置:
hint.ppc.0.at="isa"
hint.ppc.0.irq="7"
然后检查内核配置文件中是否有一行
device plip 或加载了
plip.ko 内核模块。
这两种情况下, 在使用 &man.ifconfig.8; 命令时都会显示并口对应的网络接口,
类似这样:
&prompt.root; ifconfig plip0
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
用 laplink 线接通两台计算机的并口。
在两边以 root 身份配置通讯参数。
例如, 如果你希望将 host1 通过另一台机器 host2
连接:
host1 <-----> host2
IP Address 10.0.0.1 10.0.0.2
配置 host1 上的网络接口,照此做:
&prompt.root; ifconfig plip0 10.0.0.1 10.0.0.2
配置 host2 上的网络接口,照此做:
&prompt.root; ifconfig plip0 10.0.0.2 10.0.0.1
您现在应该有个工作的连接了。想要更详细的信息,
请阅读 &man.lp.4; 和 &man.lpt.4; 手册页。
您还应该增加两个主机到 /etc/hosts:
127.0.0.1 localhost.my.domain localhost
10.0.0.1 host1.my.domain host1
10.0.0.2 host2.my.domain
要确认连接是否工作,可以到每一台机子上,然后
ping 另外一台。例如,在 host1 上:
&prompt.root; ifconfig plip0
plip0: flags=8851<UP,POINTOPOINT,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 10.0.0.1 --> 10.0.0.2 netmask 0xff000000
&prompt.root; netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
host2 host1 UH 0 0 plip0
&prompt.root; ping -c 4 host2
PING host2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=255 time=2.774 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=255 time=2.530 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=255 time=2.556 ms
64 bytes from 10.0.0.2: icmp_seq=3 ttl=255 time=2.714 ms
--- host2 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 2.530/2.643/2.774/0.103 ms
Aaron
Kaplan
原始作者:
Tom
Rhodes
重新组织和增加:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
Brad
Davis
Extended by
IPv6
IPv6 (也被称作 IPng 下一代 IP
)
是众所周知的 IP 协议 (也叫
IPv4) 的新版本。 和其他现代的 *BSD 系统一样,
FreeBSD 包含了 KAME 的 IPv6 参考实现。 因此,
您的 FreeBSD 系统包含了尝试 IPv6 所需要的所有工具。
这一节主要集中讨论如何配置和使用 IPv6。
在 1990 年代早期, 人们开始担心可用的 IPv4 地址空间在不断地缩小。 随着
Internet 的爆炸式发展, 主要的两个担心是:
用尽所有的地址。 当然现在这个问题已经不再那样尖锐,
因为 RFC1918 私有地址空间
(10.0.0.0/8、
172.16.0.0/12, 以及
192.168.0.0/16)
和网络地址转换 (NAT) 技术已经被广泛采用。
路由表条目变得太大。这点今天仍然是焦点。
IPv6 解决这些和其它许多的问题:
128 位地址空间。换句话,理论上有
340,282,366,920,938,463,463,374,607,431,768,211,456
个地址可以使用。这意味着在我们的星球上每平方米大约有
6.67 * 10^27 个 IPv6 地址。
路由器仅在它们的路由表里存放网络地址集,
这就减少路由表的平均空间到 8192 个条目。
IPv6 还有其它许多有用的功能,如:
地址自动配置 (RFC2462)
Anycast (任意播) 地址(一对多
)
强制的多播地址
IPsec (IP 安全)
简单的头结构
移动的 (Mobile) IP
IPv6 到 IPv4 的转换机制
要更多信息,请查看:
IPv6 概观,在
playground.sun.com
KAME.net
关于 IPv6 地址的背景知识
有几种不同类型的 IPv6 地址:Unicast,Anycast 和 Multicast。
Unicast 地址是为人们所熟知的地址。一个被发送到
unicast 地址的包实际上会到达属于这个地址的接口。
Anycast 地址语义上与 unicast 地址没有差别,
只是它们强调一组接口。指定为 anycast 地址的包会到达最近的
(以路由为单位) 接口。Anycast 地址可能只被路由器使用。
Multicast 地址标识一组接口。指定为 multicast
地址的包会到达属于 multicast 组的所有的接口。
IPv4 广播地址 (通常为
xxx.xxx.xxx.255) 由
IPv6 的 multicast 地址来表示。
保留的 IPv6 地址
IPv6 地址
预定长度 (bits)
描述
备注
::
128 bits
未指定
类似 IPv4 中的 0.0.0.0
::1
128 bits
环回地址
类似 IPv4 中的 127.0.0.1
::00:xx:xx:xx:xx
96 bits
嵌入的 IPv4
低 32 bits 是 IPv4 地址。这也称作
IPv4 兼容 IPv6
地址
::ff:xx:xx:xx:xx
96 bits
IPv4 影射的 IPv6 地址
低的 32 bits 是 IPv4 地址。 用于那些不支持 IPv6 的主机。
fe80:: - feb::
10 bits
链路环回
类似 IPv4 的环回地址。
fec0:: - fef::
10 bits
站点环回
ff::
8 bits
多播
001 (base
2)
3 bits
全球多播
所有的全球多播地址都指定到这个地址池中。前三个二进制位是
001
。
IPv6 地址的读法
规范形式被描述为:x:x:x:x:x:x:x:x,
每一个x
就是一个 16 位的 16 进制值。当然,
每个十六进制块以三个0
开始头的也可以省略。如
FEBC:A574:382B:23C1:AA49:4592:4EFE:9982
通常一个地址会有很长的子串全部为零,
因此每个地址的这种子串常被简写为::
。
例如:fe80::1
对应的规范形式是
fe80:0000:0000:0000:0000:0000:0000:0001。
第三种形式是以众所周知的用点.
作为分隔符的十进制
IPv4 形式,写出最后 32 Bit 的部分。例如
2002::10.0.0.1
对应的十进制正规表达方式是
2002:0000:0000:0000:0000:0000:0a00:0001
它也相当于写成
2002::a00:1.
到现在,读者应该能理解下面的内容了:
&prompt.root; ifconfig
rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
inet 10.0.0.10 netmask 0xffffff00 broadcast 10.0.0.255
inet6 fe80::200:21ff:fe03:8e1%rl0 prefixlen 64 scopeid 0x1
ether 00:00:21:03:08:e1
media: Ethernet autoselect (100baseTX )
status: active
fe80::200:21ff:fe03:8e1%rl0
是一个自动配置的链路环回地址。它作为自动配置的一部分由 MAC 生成。
关于 IPv6 地址的结构的更多信息,请参看 RFC3513。
进行连接
目前,有四种方式可以连接到其它 IPv6 主机和网络:
从您的上一级提供商那里获得 IPv6 网络。与您的互联网提供商讨论以求指导。
使用 6-to-4 通道 (RFC3068)
如果您使用的是拨号连接, 则可以使用 net/freenet6 port。
IPv6 世界里的 DNS
对于 IPv6 有两种类型的 DNS 记录:IETF
已经宣布 A6 是过时标准;现行的标准是 AAAA 记录。
使用AAAA记录是很简单的。通过增加下面内容,
给您的主机分配置您刚才接收到的新的 IPv6 地址:
MYHOSTNAME AAAA MYIPv6ADDR
到您的主域 DNS 文件里,就可以完成。要是您自已没有
DNS 域服务,您可以询问您的 DNS
提供商。目前的 bind 版本 (version 8.3 与 9)
和 dns/djbdns(含IPv6补丁) 支持 AAAA 记录。
在 <filename>/etc/rc.conf</filename> 中进行所需的修改
IPv6 客户机设置
这些设置将帮助您把一台您 LAN 上的机器配置为一台客户机, 而不是路由器。
要让 &man.rtsol.8; 在启动时自动配置您的网卡, 只需添加:
ipv6_enable="YES"
要自动地静态指定 IP 地址, 例如
2001:471:1f11:251:290:27ff:fee0:2093, 到
fxp0 上, 则写上:
ipv6_ifconfig_fxp0="2001:471:1f11:251:290:27ff:fee0:2093"
要指定
2001:471:1f11:251::1
作为默认路由, 需要在 /etc/rc.conf 中加入:
ipv6_defaultrouter="2001:471:1f11:251::1"
IPv6 路由器/网关配置
这将帮助您从隧道提供商那里取得必要的资料,
并将这些资料转化为在重启时能够保持住的设置。 要在启动时恢复您的隧道,
需要在 /etc/rc.conf 中增加:
列出要配置的通用隧道接口, 例如
gif0:
gif_interfaces="gif0"
配置该接口使用本地端地址
MY_IPv4_ADDR 和远程端地址
REMOTE_IPv4_ADDR:
gifconfig_gif0="MY_IPv4_ADDR REMOTE_IPv4_ADDR"
应用分配给您用于 IPv6 隧道远端的 IPv6
地址, 需要增加:
ipv6_ifconfig_gif0="MY_ASSIGNED_IPv6_TUNNEL_ENDPOINT_ADDR"
此后十设置 IPv6 的默认路由。 这是 IPv6 隧道的另一端:
ipv6_defaultrouter="MY_IPv6_REMOTE_TUNNEL_ENDPOINT_ADDR"
IPv6 隧道配置
如果服务器将您的网络通过 IPv6 路由到世界的其他角落,
您需要在 /etc/rc.conf
中添加下面的配置:
ipv6_gateway_enable="YES"
路由宣告和主机自动配置
这节将帮助您配置 &man.rtadvd.8; 来宣示默认的
IPv6 路由。
要启用 &man.rtadvd.8; 您需要在
/etc/rc.conf 中添加:
rtadvd_enable="YES"
指定由哪个网络接口来完成
IPv6 路由请求非常重要。 举例来说, 让 &man.rtadvd.8; 使用
fxp0:
rtadvd_interfaces="fxp0"
接下来我们需要创建配置文件,
/etc/rtadvd.conf。 示例如下:
fxp0:\
:addrs#1:addr="2001:471:1f11:246::":prefixlen#64:tc=ether:
将 fxp0 改为您打算使用的接口名。
接下来, 将 2001:471:1f11:246::
改为分配给您的地址前缀。
如果您拥有专用的 /64 子网,
则不需要修改其他设置。 反之, 您需要把
prefixlen# 改为正确的值。
Harti
Brandt
贡献者:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
异步传输模式 (ATM)
配置 classical IP over ATM (PVCs)
Classical IP over ATM (CLIP)
是一种最简单的使用带 IP 的 ATM 的方法。
这种方法可以用在交换式连接 (SVC) 和永久连接
(PVC) 上。这部分描述的就是配置基于 PVC 的网络。
完全互连的配置
第一种使用PVC来设置 CLIP
的方式就是通过专用的 PVC 让网络里的每一台机子都互连在一起。
尽管这样配置起来很简单,但对于数量更多一点的机子来说就有些不切实际了。
例如我们有四台机子在网络里,每一台都使用一张 ATM 适配器卡连接到 ATM
网络。第一步就是规划 IP 地址和机子间的 ATM 连接。我们使用下面的:
主机
IP 地址
hostA
192.168.173.1
hostB
192.168.173.2
hostC
192.168.173.3
hostD
192.168.173.4
为了建造完全交错的网络,我们需要在第一对机子间有一个 ATM 连接:
机器
VPI.VCI 对
hostA - hostB
0.100
hostA - hostC
0.101
hostA - hostD
0.102
hostB - hostC
0.103
hostB - hostD
0.104
hostC - hostD
0.105
在每一个连接端 VPI 和 VCI 的值都可能会不同,
只是为了简单起见,我们假定它们是一样的。
下一步我们需要配置每一个主机上的 ATM 接口:
hostA&prompt.root; ifconfig hatm0 192.168.173.1 up
hostB&prompt.root; ifconfig hatm0 192.168.173.2 up
hostC&prompt.root; ifconfig hatm0 192.168.173.3 up
hostD&prompt.root; ifconfig hatm0 192.168.173.4 up
假定所有主机上的 ATM 接口都是 hatm0。
现在 PVC 需要配置到 hostA 上
(我们假定它们都已经配置在了 ATM 交换机上,至于怎么做的,
您就需要参考一下该交换机的手册了)。
hostA&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 100 llc/snap ubr
hostA&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 101 llc/snap ubr
hostA&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 102 llc/snap ubr
hostB&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 100 llc/snap ubr
hostB&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 103 llc/snap ubr
hostB&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 104 llc/snap ubr
hostC&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 101 llc/snap ubr
hostC&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 103 llc/snap ubr
hostC&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 105 llc/snap ubr
hostD&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 102 llc/snap ubr
hostD&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 104 llc/snap ubr
hostD&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 105 llc/snap ubr
当然,除 UBR 外其它的通信协定也可让 ATM 适配器支持这些。
此种情况下,通信协定的名字要跟人通信参数后边。工具
&man.atmconfig.8; 的帮助可以这样得到:
&prompt.root; atmconfig help natm add
或者在 &man.atmconfig.8; 手册页里得到。
相同的配置也可以通过 /etc/rc.conf
来完成。对于 hostA,看起来就象这样:
network_interfaces="lo0 hatm0"
ifconfig_hatm0="inet 192.168.173.1 up"
natm_static_routes="hostB hostC hostD"
route_hostB="192.168.173.2 hatm0 0 100 llc/snap ubr"
route_hostC="192.168.173.3 hatm0 0 101 llc/snap ubr"
route_hostD="192.168.173.4 hatm0 0 102 llc/snap ubr"
所有 CLIP 路由的当前状态可以使用如下命令获得:
hostA&prompt.root; atmconfig natm show
Tom
Rhodes
原作
Common Access Redundancy Protocol (CARP, 共用地址冗余协议)
CARP
Common Access Redundancy Protocol, 共用地址冗余协议
Common Access Redundancy Protocol, 或简称
CARP 能够使多台主机共享同一
IP 地址。 在某些配置中, 这样做可以提高可用性,
或实现负载均衡。 下面的例子中, 这些主机也可以同时使用其他的不同的
IP 地址。
要启用 CARP 支持, 必须在 &os;
内核配置中增加下列选项, 并重新联编内核:
device carp
这样就可以使用 CARP 功能了,
一些具体的参数, 可以通过一系列 sysctl
OID 来调整。 设备可以通过 ifconfig 命令来加载:
&prompt.root; ifconfig carp0 create
在真实环境中, 这些接口需要一个称作 VHID 的标识编号。 这个
VHID 或 Virtual Host Identification (虚拟主机标识)
用于在网络上区分主机。
使用 CARP 来改善服务的可用性 (CARP)
如前面提到的那样, CARP 的作用之一是改善服务的可用性。
这个例子中, 将为三台主机提供故障转移服务, 这三台服务器各自有独立的 IP
地址, 并提供完全一样的 web 内容。 三台机器以 DNS
轮询的方式提供服务。 用于故障转移的机器有两个
CARP 接口,
分别配置另外两台服务器的 IP 地址。
当有服务器发生故障时, 这台机器会自动得到故障机的
IP 地址。 这样以来,
用户就完全感觉不到发生了故障。 故障转移的服务器提供的内容和服务,
应与其为之提供热备份的服务器一致。
两台机器的配置, 除了主机名和 VHID 之外应完全一致。
在我们的例子中, 这两台机器的主机名分别是
hosta.example.org 和
hostb.example.org。 首先,
需要将 CARP 配置加入到 rc.conf。 对于
hosta.example.org 而言,
rc.conf 文件中应包含下列配置:
hostname="hosta.example.org"
ifconfig_fxp0="inet 192.168.1.3 netmask 255.255.255.0"
cloned_interfaces="carp0"
ifconfig_carp0="vhid 1 pass testpast 192.168.1.50/24"
在 hostb.example.org 上,
对应的 rc.conf 配置则是:
hostname="hostb.example.org"
ifconfig_fxp0="inet 192.168.1.4 netmask 255.255.255.0"
cloned_interfaces="carp0"
ifconfig_carp0="vhid 2 pass testpass 192.168.1.51/24"
在两台机器上由 ifconfig 的
选项指定的密码必须是一致的,
这一点非常重要。 carp 设备只会监听和接受来自持有正确密码的机器的公告。
此外, 不同虚拟主机的 VHID 必须不同。
第三台机器,
provider.example.org 需要进行配置,
以便在另外两台机器出现问题时接管。 这台机器需要两个 carp
设备, 分别处理两个机器。 对应的 rc.conf
配置类似下面这样:
hostname="provider.example.org"
ifconfig_fxp0="inet 192.168.1.5 netmask 255.255.255.0"
cloned_interfaces="carp0 carp1"
ifconfig_carp0="vhid 1 advskew 100 pass testpass 192.168.1.50/24"
ifconfig_carp1="vhid 2 advskew 100 pass testpass 192.168.1.51/24"
配置两个 carp 设备,
能够让 provider.example.org 在两台机器中的任何一个停止响应时,
立即接管其 IP 地址。
默认的 &os; 内核 可能 启用了主机间抢占。
如果是这样的话,
provider.example.org 可能在正式的内容服务器恢复时不释放
IP 地址。 此时, 管理员可以
提醒
一下接口。 具体做法是在
provider.example.org 上使用下面的命令:
&prompt.root; ifconfig carp0 down && ifconfig carp0 up
这个操作需要在与出现问题的主机对应的那个 carp
接口上进行。
现在您已经完成了 CARP 的配置, 并可以开始测试了。
测试过程中, 可以随时重启或切断两台机器的网络。
如欲了解更多细节, 请参见 &man.carp.4;
联机手册。
diff --git a/zh_CN.GB2312/books/handbook/audit/chapter.sgml b/zh_CN.GB2312/books/handbook/audit/chapter.sgml
index 7c631bb52b..7eb4468291 100644
--- a/zh_CN.GB2312/books/handbook/audit/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/audit/chapter.sgml
@@ -1,606 +1,612 @@
Tom
Rhodes
原作
Robert
Watson
安全事件审计
概述
AUDIT
安全事件审计
MAC
- FreeBSD 6.2-RELEASE 和更高版本中包含了对于细粒度安全事件审计的支持。
+ &os; 6.2 和更高版本中包含了对于细粒度安全事件审计的支持。
事件审计能够支持可靠的、 细粒度且可配置的, 对于各类与安全有关的系统事件,
包括登录、 配置变更, 以及文件和网络访问等的日志记录。
这些日志记录对于在正在运行的系统上实施监控、 入侵检测和事后分析都十分重要。
&os; 实现了 Sun 所发布的
BSM API 和文件格式, 并且与 &sun; 的 &solaris;
和 &apple; 的 &macos; X 审计实现兼容。
这一章的重点是安装和配置事件审计。 它介绍了事件策略, 并提供了一个审计的配置例子。
读完这章, 您将了解:
事件审计是什么, 以及它如何工作。
如何在 &os; 上为用户和进程配置事件审计。
如何使用审计记录摘要和复审工具来对审计记录进行复审。
阅读这章之前, 您应该:
理解 &unix; 和 &os; 的基础知识
()。
熟悉关于内核配置和编译的基本方法
()。
熟悉安全知识以及如何在 &os; 运用它们 ()。
在 &os; 6.2 上的审计机制是试验性的,
在生产环境中部署之前, 应仔细评估部署试验性软件可能带来的风险。 已知的限制是,
并不是所有与安全有关的系统事件都是可审计的, 某些登录机制, 例如基于 X11
显示管理器, 以及第三方服务的登录机制, 都不会在用户的登录会话中正确配置审计。
安全审计机制能够对系统活动生成非常详细的记录信息: 在繁忙的系统中,
记帐数据如果配置不当会非常的大, 并在一周内迅速超过几个 GB 的尺寸。
管理员应考虑审计配置中的导致磁盘空间需求的这些问题。 例如,
可能需要为 /var/audit 目录单独分配一个文件系统,
以防止在审计日志所用的文件系统被填满时影响其它文件系统。
本章中的一些关键术语
在开始阅读这章之前, 我们需要解释一下与审计有关的一些关键的术语:
事件 (event):
可审计事件是指能够被审计子系统记录的任何事件。
举例说来, 与安全有关的事件包括创建文件、
建立网络连接, 以及以某一用户身份登录, 等等。
任何事件必要么是 有主 (attributable)
的,
即可以最终归于某一已通过验证的用户的身份, 反之, 则称该事件是
无主 (non-attributable)
的。
无主事件可以是发生在登录过程成功之前的任何事件, 例如尝试一次无效密码等。
类 (class): 事件类是指相关事件的一个命名集合,
通常在筛选表达式中使用。 常用的事件类包括 创建文件
(fc)、
执行
(ex) 和 登入和注销
(lo)。
记录 (record): 记录是指描述一个安全事件的日志项。
记录包括记录事件类型、 执行操作的主体 (用户) 信息、
日期和事件信息, 以及与之相关的对象或参数信息, 最后是操作成功或失败。
账目 (trail): 审计账目, 或日志文件,
包含了一系列描述安全事件的审计记录。 典型情况下,
审计账目基本上是以事件发生的时间顺序记录的。 只有获得授权的进程,
才能够向审计账目中提交记录。
筛选表达式 (selection expression):
筛选表达式是包含一系列前缀和审计事件类名字,
用以匹配事件的字符串。
预选 (preselection): 系统通过这一过程来识别事件是否是管理员所感兴趣的,
从而避免为他们不感兴趣的事件生成记录。 预选配置使用一系列选择表达式,
用以识别事件类别、 要审计的用户, 以及适用于验证过用户身份, 以及未验证用户身份的进程的全局配置。
浓缩 (reduction): 从现有的审计记帐中筛选出用于保留、
打印或分析的过程。 除此之外, 它也表示从审计记帐中删去不需要的审计记录的过程。
通过使用浓缩操作, 管理员可以实现预留审计数据的策略。 例如, 详细的审计记帐信息,
可能会保留一个月之久, 但在这之后, 则对这些记帐信息执行浓缩操作,
只保留登录信息用于存档。
安装审计支持
对于事件审计的支持, 已经随标准的 installworld
过程完成。 管理员可以通过查看
/etc/security 的内容来确认这一点。
您应能看到一些名字以 audit 开头的文件,
例如 audit_event。
- 从 &os; 6.2-RELEASE 开始, 对事件审计的支持已经作为基本系统的一部分安装。
- 但是, 您还需要将下面这些配置加入到内核配置文件中,
- 以便将事件审计支持加入到内核:
+ 用户空间对事件审计的支持已经作为 &os; 基本系统的一部分被安装。
+ 在 &os; 6.3 和以后的版本中,内核对于事件审计的支持已被默认编译进内核。
+ 对于 &os; 6.2 必须加入明确地把以下这行加入内核配置文件并编译。
options AUDIT
接下来, 您应按照
中所介绍的步骤来完成一次内核的编译和安装。
在编译好并安装了内核, 并重新启动了系统之后, 就可以在
&man.rc.conf.5; 中增加下列配置来启用审计服务了:
+ 在编译、安装了开启审计功能的内核,并重新启动计算机之后,
+ 就可以在 &man.rc.conf.5; 中增加下列配置来启用审计服务了:
+
auditd_enable="YES"
此后, 必须重新启动系统, 或通过下面的命令手工启动审计服务来启动审计支持:
/etc/rc.d/auditd start
对审计进行配置
所有用于安全审计的配置文件, 都可以在
/etc/security 找到。
要启动审计服务, 下面这些文件必须存在:
audit_class - 包含对于审计类的定义。
audit_control - 控制审计子系统的特性,
例如默认审计类、 在审计日志所在的卷上保留的最小空间、
审计日志的最大尺寸, 等等。
audit_event - 文字化的系统审计事件名称和描述,
以及每个事件属于哪个类别。
audit_user - 针对特定用户的审计需求,
这些配置在登录时会与全局的默认值合并。
audit_warn - 由 auditd 调用的一个可定制的 shell
脚本, 用于在意外情况, 如用于审计日志的空间过少, 或审计日志文件被翻转时,
生成警告信息。
在编辑和维护审计配置文件时一定要小心, 因为配置文件中的错误会导致记录事件不正确。
事件筛选表达式
在审计配置文件中的许多地方会用到筛选表达式来确定哪些事件是需要审计的。
表达式中需要指定要匹配的事件类型, 并使用前缀指定是否应接受或忽略匹配的事件,
此外, 还可以指定一个可选项指明匹配成功或失败的操作。
选择表达式是按从左到右的顺序计算的, 而对于两个表达式的情形,
则是通过将后一个追加到前一个之后来实现的。
下面列出了在 audit_class 中的默认事件类型:
all - all (全部) - 表示匹配全部事件类。
ad - administrative (管理)
- 所有在系统上所进行的管理性操作。
ap - application (应用) -
应用程序定义的动作。
cl - file close (文件关闭) -
审计对 close 系统调用的操作。
ex - exec (执行) - 审计程序的执行。
对于命令行参数和环境变量的审计是通过在 &man.audit.control.5;
中 policy 的 argv 和 envv
参数来控制的。
fa - file attribute access (造访文件属性)
- 审计访问对象属性, 例如
&man.stat.1;、 &man.pathconf.2; 以及类似事件。
fc - file create (创建文件)
- 审计创建了文件的事件。
fd - file delete (删除文件)
- 审计所发生的文件删除事件。
fm - file attribute modify (修改文件属性)
- 审计文件属性发生变化的事件,
例如 &man.chown.8;、 &man.chflags.1;、 &man.flock.2;,
等等。
fr - file read (读文件数据)
- 审计读取数据、 文件以读方式打开等事件。
fw - file write (写文件数据) -
审计写入数据、 文件以写方式打开等事件。
io - ioctl -
审计对 &man.ioctl.2; 系统调用的使用。
ip - ipc - 审计各种形式的进程间通信 (IPC),
包括 POSIX 管道和 System V IPC 操作。
lo - login_logout -
审计系统中发生的 &man.login.1; 和 &man.logout.1; 事件。
na - non attributable (无主) -
审计无法归类的事件。
no - invalid class (无效类) -
表示不匹配任何事件。
nt - network (网络) -
与网络操作有关的事件, 例如
&man.connect.2; 和 &man.accept.2;。
ot - other (其它) -
审计各类杂项事件。
pc - process (进程) -
审计进程操作, 例如 &man.exec.3; 和
&man.exit.3;。
这些审计事件, 可以通过修改
audit_class 和
audit_event 这两个配置文件来进行定制。
这个列表中, 每个审计类均包含一个表示匹配成功/失败操作的前缀,
以及这一项是否是增加或删去对事件类或类型的匹配。
(none) 审计事件的成功和失败实例。
+ 审计这一类的成功事件。
- 审计这一类的失败事件。
^ 不审计本类中的成功或失败事件。
^+ 不审计本类中的成功事件。
^- 不审计本类中的失败事件。
下面例子中的筛选字符串表示筛选成功和失败的登录/注销事件,
而对执行事件, 则只审计成功的:
lo,+ex
配置文件
多数情况下, 在配置审计系统时,
管理员只需修改两个文件: audit_control
和 audit_user。 前者控制系统级的审计属性和策略,
而后者则用于针对具体的用户来微调。
<filename>audit_control</filename> 文件
audit_control 文件指定了一系列用于审计子系统的默认设置。
通过查看这个文件, 我们可以看到下面的内容:
dir:/var/audit
flags:lo
minfree:20
naflags:lo
policy:cnt
filesz:0
这里的 选项可以用来设置用于保存审计日志的一个或多个目录。
如果指定了多个目录, 则将在填满一个之后换用下一个。 一般而言,
审计通常都会配置为保存在一个专用的文件系统之下,
以避免审计系统与其它子系统在文件系统满的时候所产生的冲突。
字段用于为有主事件配置系统级的预选条件。
在前面的例子中, 所有用户成功和失败的登录和注销都会被审计。
参数用于定义保存审计日志的文件系统上剩余空间的最小百分比。
当超过这一阈值时, 将产生一个警告。 前面的例子中, 最小剩余空间比例设置成了两成。
选项表示审计类审计无主事件,
例如作为登录进程和系统服务的那些进程的事件。
选项用于指定一个以逗号分隔的策略标志表,
以控制一系列审计行为。 默认的 cnt 标志表示系统应在审计失败时继续运行
(强烈建议使用这个标志)。 另一个常用的标志是
argv, 它表示在审计命令执行操作时,
同时审计传给 &man.execve.2; 系统调用的命令行参数。
选项指明了审计日志在自动停止记录和翻转之前允许的最大尺寸。
默认值 0 表示禁用自动日志翻转。 如果配置的值不是零, 但小于最小值 512k,
则这个配置会被忽略, 并在日志中记录这一消息。
<filename>audit_user</filename> 文件
audit_user 文件允许管理员为特定用户指定进一步的审计需求。
每一行使用两个字段来配置用户的审计:
第一个是 alwaysaudit 字段, 它指明了一组对该用户总会进行审计的事件;
而第二个则是 neveraudit 字段,
它指明了一系列对该用户不审计的事件。
在下述 audit_user 示例文件中,
审计了 root 用户的 登录/注销 事件, 以及成功的命令执行事件,
此外, 还审计了 www 用户的文件创建和成功的命令执行事件。
如果与前面的示范 audit_control 文件配合使用,
则 root 的 lo 项就是多余的, 而对
www 用户而言, 其登录/注销事件也会被审计:
root:lo,+ex:no
www:fc,+ex:no
管理审计子系统
查看审计日志
审计记帐是以 BSM 二进制格式保存的, 因此必须使用工具来对其进行修改,
或将其转换为文本。 &man.praudit.1;
命令能够将记帐文件转换为简单的文本格式; 而
&man.auditreduce.1 命令则可以为分析、 存档或打印目的来浓缩审计日志文件。
auditreduce 支持一系列筛选参数, 包括事件类型、 事件类、
用户、 事件的日期和时间, 以及文件路径或操作对象。
例如, praudit 工具会将指定的审计记帐转存为简单文本格式的审计日志:
&prompt.root; praudit /var/audit/AUDITFILE
此处 AUDITFILE 是要转存的审计日志文件。
审计记帐中包括一系列审计记录, 这些记录由一系列短语 (token) 组成,
而 praudit 能把它们顺序显示为一行。
每个短语都属于某个特定的类型, 例如
header 表示审计记录头, 而
path 则表示在一次名字查找中的文件路径。 下面是一个
execve 事件的例子:
header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
exec arg,finger,doug
path,/usr/bin/finger
attribute,555,root,wheel,90,24918,104944
subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100
return,success,0
trailer,133
这个审计记录表示一次成功的 execve
调用, 执行了 finger doug。 在参数短语中是由 shell 提交给内核的命令行。
path 短语包含了由内核查找得到的可执行文件路径。 attribute 短语中包含了对可执行文件的描述,
特别地, 它包括了文件的权限模式, 用以确定应用程序是否是 setuid 的。
subject(主体) 短语描述了主体进程, 并顺序记录了审计用户 ID、 生效用户 ID 和组 ID、
实际用户 ID 和组 ID、 进程 ID、 会话 ID、 端口 ID, 以及登录地址。
注意审计用户 ID 和实际用户 ID 是不同的:
用户 robert 在执行这个命令之前已经切换为
root 帐户, 但它会以最初进行身份验证的用户身份进行审计。
最后, return 短语表示执行成功,
而 trailer 表示终结这一记录。
+ 在 &os; 6.3 以及以后的版本中, praudit
+ 可以选择使用 参数来支持 XML 格式的输出。
+
浓缩审计记帐
由于审计日志可能会很大, 管理员可能会希望选择记录的一个子集来使用,
例如与特定用户相关的记录:
&prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit
这将选择保存在
AUDITFILE 中的所有由
trhodes 产生的审计日志。
委派审计复审权限
在 audit 组中的用户,
拥有读取 /var/audit 下的审计记帐的权限;
默认情况下, 这个组是空的, 因此只有 root 用户可以读取审计记帐。
如果希望给某个用户指定审计复审权, 则可以将其加入 audit。
由于查看审计日志的内容可以提供关于用户和进程行为的大量深度信息,
在您委派这些权力时, 请务必谨慎行事。
通过审计管道来实时监控
审计管道是位于设备文件系统中的自动复制 (cloning) 的虚拟设备,
用于让应用程序控制正在运行的审计记录流, 这主要是为了满足入侵检测和系统监控软件作者的需要。
不过, 对管理员而言, 审计管道设备也提供了一种无需冒审计记帐文件属主出现问题的麻烦,
或由于日志翻转而打断事件流的麻烦, 而实现实时监控的方便途径。 要跟踪实时事件流,
使用下面的命令行:
&prompt.root; praudit /dev/auditpipe
默认情况下, 审计管道设备节点只有 root 用户才能访问。 如果希望
audit 组的成员能够访问它, 应在 devfs.rules
中加入下述 devfs 规则:
add path 'auditpipe*' mode 0440 group audit
请参见 &man.devfs.rules.5; 以了解关于配置 devfs 文件系统的进一步信息。
很容易配置出审计事件反馈循环, 也就是查看事件的操作本身会产生更多的事件。
例如, 如果所有的网络 I/O 均被审计, 又在 SSH 会话中执行
&man.praudit.1;, 就会以很高的速率产生持续的审计事件流,
因为每显示一个事件都会产生新的事件。 建议您在需要在审计管道设备上执行
praudit 时, 选择一个没有进行细粒度
I/O 审计的会话来运行。
审计记帐文件的轮转
审计计账只由内核写入, 且只能由
auditd 管理。 管理员不应尝试使用 &man.newsyslog.conf.5;
或其它工具来完成审计日志的轮转工作。 您可以使用 audit
管理工具来关闭审计、 重新配置审计系统, 并完成日志轮转。
下面的命令将让审计服务创建新的审计日志,
并发信号给内核要求其使用新的日志。 旧日志将终止并被改名,
此时, 管理员就可以操作它了。
&prompt.root; audit -n
如果 auditd 服务程序没有在运行,
则这个命令将失败并给出错误提示。
在 /etc/crontab 加入如下设置,
将使 &man.cron.8; 每十二小时将日志轮转一次。
0 */12 * * * root /usr/sbin/audit -n
这些修改会在您保存 /etc/crontab 后生效。
对于审计记帐文件基于尺寸的自动翻转, 可以通过
&man.audit.control.5; 中的 选项来配置,
这个选项在这一章的配置文件一节中已经介绍过。
压缩审计记帐
由于审计记帐文件会变得很大, 通常会希望在审计服务关闭它时,
对其进行压缩或归档。 audit_warn 脚本可以用来在一系列与审计有关的事件发生时,
执行一些用户定义的操作, 这也包括在审计记帐翻转时进行清理操作。 举例而言, 可以在
audit_warn 脚本中加入下列内容来在审计记帐关闭时压缩它:
#
# Compress audit trail files on close.
#
if [ "$1" = closefile ]; then
gzip -9 $2
fi
其它存档操作也包括将审计记帐复制到一个中央的服务器, 删除旧的记帐文件,
或浓缩审计记帐并删除不需要的记录等。 这个脚本会在审计记帐文件正常关闭时执行一次,
因此在非正常关闭系统时, 就不会执行它了。
diff --git a/zh_CN.GB2312/books/handbook/desktop/chapter.sgml b/zh_CN.GB2312/books/handbook/desktop/chapter.sgml
index cb56dc35cd..06a83cf5fe 100644
--- a/zh_CN.GB2312/books/handbook/desktop/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/desktop/chapter.sgml
@@ -1,1021 +1,1057 @@
Christophe
Juniet
Contributed by
桌面应用
概述
FreeBSD 可以运行种类繁多的桌面应用程序,
这包括像浏览器和字处理这样的软件。 绝大多数这样的程序都可以通过 package
来安装, 或者从 Ports
Collection 自动地构建。 许多新用户希望能够在它们的系统中找到这样的应用程序。
这一章将向您展示如何轻松地使用 package 或者 Ports Collection
中安装这样的软件。
需要注意的是从 ports 安装意味着要编译源码。 根据编译的
ports 和电脑速度的不同, 这可能需要花费相当长的时间。
若是您觉得编译源码太过耗时的话, 绝大多数 ports
也有预编译的版本可供安装。
因为 FreeBSD 提供的二进制兼容 Linux 的特性, 许多原本为 Linux
开发的程序都可以直接用在您的桌面。 在安装任何的 Linux
应用程序之前, 强烈的推荐您阅读 。
当您在寻找特定的 ports 时, 可以使用 &man.whereis.1;。 一般来说,
许多利用 Linux 二进制兼容特性的 ports 都以linux-
开头。
在下面的介绍中,都假设安装 Linux 应用程序前已经开启了 Linux 二进制兼容功能。
本章涵盖以下种类应用程序:
浏览器 (例如 Mozilla、
Opera、
Firefox、
Konqueror)
办公、图象处理 (例如
KOffice、
AbiWord、
GIMP、
OpenOffice.org)
文档查看 (例如 &acrobat.reader;、
gv、
Xpdf、
GQview)
财务 (例如
GnuCash、
Gnumeric、
Abacus)
阅读这章之前,您应该:
知道如何安装额外的第三方软件()。
知道如何安装 Linux 软件()。
想要获得更多的有关多媒体环境的信息,请阅读
。如果您想要建立和使用电子邮件,
请参考。
浏览器
浏览器
web
FreeBSD并没有预先安装特定的浏览器。然而,在 ports 的目录 www
有许多浏览器可以安装。如果您没有时间一一编译它们
(有些时候这可能需要花费相当长的时间) 大部分都有 package 可用。
KDE 和
GNOME 已经提供 HTML 浏览器。
请参考得到更多完整的有关设定这些桌面环境的信息。
如果您要找小型的浏览器, 可以试试看
www/dillo、
www/links 或
www/w3m。
这一节涉及如下程序:
程序名称
资源需求
安装时间
主要依赖
Mozilla
多
大量时间和空间
Gtk+
Opera
少
轻松
同时有可用的 FreeBSD 和 Linux 版本。 Linux 版本需要使用
Linux 二进制兼容模块和
linux-openmotif。
Firefox
中等
长
Gtk+
Konqueror
中等
长
需要 KDE 库
Mozilla
Mozilla
Mozilla 是一个完全移植到 FreeBSD
上的现代化的、 稳定的浏览器。 它拥有非常合乎标准的 HTML 支持,
它也能处理邮件和阅读新闻组。
假如您打算做一个自己的主页的话,它甚至提供一个 HTML 编辑器。
&netscape; 的使用者可能觉得它和
Communicator 非常相似,
两者有些部分实际上是相通的。
在 CPU 速度低于 233MHz 或者内存少于 64MB
的老式电脑上,Mozilla
会占用相当多资源而难以使用。您也许可以试试
Opera 浏览器,本章稍后将会介绍它。
也许基于某种原因,您不能或者不想编译
Mozilla,FreeBSD GNOME 团队已经为您制作好了
package。只需要通过网络安装它:
&prompt.root; pkg_add -r mozilla
如果没 package 可用,而您又有足够的时间和磁盘空间,您可以获取
Mozilla 的源码来编译并安装它到您的系统上。
执行以下指令既可:
&prompt.root; cd /usr/ports/www/mozilla
&prompt.root; make install clean
Mozilla 需要 root
权限执行 chrom 注册来确定正确的初始化。另外,
如果您想要一些额外的插件比如象 mouse gestures,您也必须以
root 权限执行 Mozilla
以便正确的安装。
一旦您完成了 Mozilla 安装,您就再也不需要
root 权限了。您可以用如下方式执行
Mozilla:
&prompt.user; mozilla
也可以用如下方式直接运行电子邮件和新闻阅读器:
&prompt.user; mozilla -mail
Firefox
Firefox
Firefox 是基于 Mozilla
代码系的下一代浏览器。 Mozilla
是一个完整的应用程序套件, 包含了浏览器、 邮件客户端、
聊天客户端等等。 而 Firefox
则只是一个浏览器, 这使得它体积更小并且执行速度更快。
您可以通过输入下面的命令来安装预编译的包:
&prompt.root; pkg_add -r firefox
如果您喜欢从源代码编译, 则可以使用 Ports
套件来完成这项工作:
&prompt.root; cd /usr/ports/www/firefox
&prompt.root; make install clean
Firefox、 Mozilla 与 &java; 插件
在这一节和下一节中,
我们均假定您已经安装了 Firefox 或
Mozilla。
&os; 基金会拥有来自 Sun Microsystems 的关于发布针对 &os;
的预编译版本的 Java 运行环境
(&jre;) 和 Java 开发包 (&jdk;) 的授权。 用于
&os; 的预编译版本可以在 &os;
基金会 网站上找到。
要为 Firefox 或
Mozilla 添加 &java; 支持,
您必须首先安装 java/javavmwrapper port。
接下来, 从
下载 Diablo &jre; 软件包,
并使用 &man.pkg.add.1; 来安装它。
启动浏览器, 并在地址栏中输入
about:plugins 然后按
Enter。 浏览器将给出一个页面,
其中会显示已经安装的插件,
您应在这个列表中找到 &java;
插件。 如果不是这样的话, 则需要以
root 身份执行下列命令:
&prompt.root; ln -s /usr/local/diablo-jre1.5.0/plugin/i386/ns7/libjavaplugin_oji.so \
/usr/local/lib/browser_plugins/
然后重新启动浏览器。
Firefox、 Mozilla 与 ¯omedia; &flash; 插件
¯omedia; &flash; 插件并没有直接提供其 &os; 版本。 不过,
我们有一个软件层 (wrapper) 可以用来运行 Linux 版本的插件。
这个 wrapper 也支持 &adobe; &acrobat;、
RealPlayer 和很多其他插件。
应安装 www/linuxpluginwrapper
port, 这个 port 需要依赖一个很大的 port,
emulators/linux_base。
请按照 port 在安装过程中所给出的提示对您的
/etc/libmap.conf 进行正确的配置!
示范的配置可以在
/usr/local/share/examples/linuxpluginwrapper/
目录找到。
下一步是安装 www/linux-flashplugin7 port。
一旦装好了这个插件, 就可以打开浏览器, 并在地址栏中输入
about:plugins 然后按下
Enter。 这将显示目前可用的插件列表。
如果您没有在这个列表中看到 &flash; 插件,
则多数情况下这是由于缺少一个符号链接导致的。
您需要以 root,
身份执行下面的命令:
&prompt.root; ln -s /usr/local/lib/npapi/linux-flashplugin/libflashplayer.so \
/usr/local/lib/browser_plugins/
&prompt.root; ln -s /usr/local/lib/npapi/linux-flashplugin/flashplayer.xpt \
/usr/local/lib/browser_plugins/
重新启动浏览器之后,
插件就应该会在前面提到的那个列表中有所体现了。
linuxpluginwrapper 只能在
&i386; 架构上运行。
Opera
Opera
Opera 是一个功能齐全,
并符合标准的浏览器。 它还提供了内建的邮件和新闻阅读器、 IRC 客户端,
RSS/Atom feed 阅读器以及更多功能。 除此之外,
Opera 是一个比较轻量的浏览器,
其速度很快。 它提供了两种不同的版本: native
FreeBSD 版本, 以及通过 Linux
模拟运行的版本。
要使用 Opera 的 FreeBSD
版本来浏览网页,安装以下的 package:
&prompt.root; pkg_add -r opera
有些 FTP 站点没有所有版本的 package,
但仍然可以通过 Ports 套件来安装
Opera:
&prompt.root; cd /usr/ports/www/opera
&prompt.root; make install clean
要安装 Linux 版本的
Opera,将上面例子中的
opera 替换为 linux-opera。Linux
版本在某些情况下非常有用,象是使用只有 Linux 版本的插件,例如 Adobe
&acrobat.reader;。不然的话在其它方面,
FreeBSD 和 Linux 版本是完全一样的。
Konqueror
Konqueror
Konqueror 是
KDE 的一部分,不过也可以通过安装
x11/kdebase3
在非 KDE 环境下使用。
Konqueror 不止是一个浏览器,
也是一个文件管理器和多媒体播放器。
也有种类丰富的插件能够配合
Konqueror 一起使用,
您可以通过 misc/konq-plugins 来安装它们。
Konqueror 也支持 &flash;;
关于如何获得用于
Konqueror
的 &flash; 支持的 How To
文档
可以在 找到。
办公、图象处理
当需要进行办公或者进行图象处理时,
新用户通常都会找一些好用的办公套件或者字处理软件。 尽管目前有一些
桌面环境, 如
KDE 已经提供了办公套件,
但目前这还没有一定之规。 无论您使用那种桌面环境,
FreeBSD 都能提供您需要的软件。
这节涉及如下程序:
软件名称
资源需求
安装时间
主要依赖
KOffice
少
多
KDE
AbiWord
少
少
Gtk+ 或 GNOME
The Gimp
少
长
Gtk+
OpenOffice.org
多
长
&jdk; 1.4、 Mozilla
KOffice
KOffice
办公套件
KOffice
KDE 社区提供了一套办公套件,
它能用在桌面环境。它包含四个标准的组件,这些组件可以在其它办公套件中找到。
KWord 是字处理程序、
KSpread 是电子表格程序、
KPresenter 是演示文档制作管理程序、
Kontour是矢量绘图软件。
安装最新的
KOffice 之前,先确定您是否安装了最新版的
KDE。
使用 package 来安装 KOffice,安装细节如下:
&prompt.root; pkg_add -r koffice
如果没有可用的 package,您可以使用 Ports Collection 安装。
安装 KDE3 的
KOffice 版本,如下:
&prompt.root; cd /usr/ports/editors/koffice-kde3
&prompt.root; make install clean
AbiWord
AbiWord
AbiWord 是一个免费的字处理程序,它看起来和
µsoft; Word 的感觉很相似。
它适合用来打印文件、信函、报告、备忘录等等,
它非常快且包含许多特性,并且非常容易使用。
AbiWord 可以导入或输出很多文件格式,
包括一些象 µsoft; .doc 这类专有格式的文件。
AbiWord 也有 package
的安装方式。您可以用以下方法安装:
&prompt.root; pkg_add -r abiword
如果没有可用的 package,它也可以从 Ports Collection 编译。ports
collection 应该是最新的。它的安装方式如下:
&prompt.root; cd /usr/ports/editors/abiword
&prompt.root; make install clean
GIMP
GIMP
对图象的编辑或者加工,
GIMP 是一个非常精通图象处理的软件。
它可以被用来当作简单的绘图程序或者一个专业的照片处理套件。
它支持大量的插件和具有脚本界面的特性。
GIMP 可以读写众多的文件格式,
支持扫描仪和手写板。
您可以用下列命令安装:
&prompt.root; pkg_add -r gimp
如果您在 FTP 站点没有找到这个 package,您也可以使用
Ports Collection 的方法安装。ports 的 graphics
目录也包含有 Gimp 手册。
以下是安装它们的方法:
&prompt.root; cd /usr/ports/graphics/gimp
&prompt.root; make install clean
&prompt.root; cd /usr/ports/graphics/gimp-manual-pdf
&prompt.root; make install clean
Ports 中的 graphics
目录也有开发中的 GIMP 版本
graphics/gimp-devel。
HTML 版本的 Gimp 手册 可以在
graphics/gimp-manual-html
找到。
OpenOffice.org
OpenOffice.org
办公套件
OpenOffice.org
OpenOffice.org 包括一套完整的办公套件:
字处理程序、 电子表格程序、 演示文档管理程序和绘图程序。
它和其它的办公套件的特征非常相似,它可以导入输出不同的流行的文件格式。
它支持许多种语言 — 国际化已经渗透到了其界面、
拼写检查和字典等各个层面。
OpenOffice.org 的字处理程序使用 XML
文件格式使它增加了可移植性和灵活性。 电子表格程序支持宏语言和使用外来的数据库界面。
OpenOffice.org 已经可以平稳的运行在
&windows;、&solaris;、Linux、FreeBSD
和 &macos; X 等各种操作系统下。 更多的有关
OpenOffice.org 的信息可以在
OpenOffice.org 网页 找到。
对于特定的 FreeBSD 版本的信息,您可以在直接在 FreeBSD OpenOffice
移植团队的页面下载。
安装 OpenOffice.org 方法如下:
&prompt.root; pkg_add -r openoffice.org
如果您正在使用 &os; 的 -RELEASE 版本, 一般来说这样做是没问题的。
如果不是这样, 您就可能需要看一看 &os; OpenOffice.org
移植小组的网站,
并使用 &man.pkg.add.1; 从那里下载并安装合适的软件包。
最新的发布版本和开发版本都可以在那里找到。
装好 package 之后, 您只需输入下面的命令就能运行
OpenOffice.org 了:
&prompt.user; openoffice.org
在第一次运行时, 将询问您一些问题,
并在您的主目录中建立一个 .openoffice.org2 目录。
如果没有可用的 OpenOffice.org
package,您仍旧可以选择编译 port。然而,
您必须记住它的要求以及大量的磁盘空间和相当长的时间编译。
&prompt.root; cd /usr/ports/editors/openoffice.org-2
&prompt.root; make install clean
如果希望联编一套进行过本地化的版本,
将前述命令行改为:
&prompt.root; make LOCALIZED_LANG=your_language install clean
您需要将
your_language 改为正确的 ISO-代码。
所支持的语言代码可以在
files/Makefile.localized 文件中找到,
这个文件位于 port 的目录。
一旦完成上述操作, 就可以通过下面的命令来运行
OpenOffice.org 了:
&prompt.user; openoffice.org
文档查看器
&unix; 系统出现以来, 一些新的文档格式开始流行起来;
它们所需要的标准查看器可能不一定在系统内。
本节中, 我们将了解如何安装它们。
这节涵盖如下应用程序:
软件名称
资源需求
安装时间
主要依赖
&acrobat.reader;
少
少
Linux二进制兼容
gv
少
少
Xaw3d
Xpdf
少
少
FreeType
GQview
少
少
Gtk+ 或 GNOME
&acrobat.reader;
Acrobat Reader
PDF
查看器
现在许多文档都用 PDF 格式,
根据轻便小巧文档格式
的定义。一个被建议使用的查看器是
&acrobat.reader;,由 Adobe 所发行的
Linux 版本。因为 FreeBSD 能够运行 Linux 二进制文件,
所以它也可以用在 FreeBSD 中。
要从 Ports collection 安装 &acrobat.reader;
7, 只需:
&prompt.root; cd /usr/ports/print/acroread7
&prompt.root; make install clean
由于授权的限制, 我们不提供预编译的版本。
gv
gv
PDF
查看器
PostScript
查看器
gv 是 &postscript; 和
PDF 文件格式查看器。它源自 ghostview
因为使用 Xaw3d 函数库让它看起来更美观。
它很快而且界面很干净。gv
有很多特性比如象纸张大小、刻度或者抗锯齿。
大部分操作都可以只用键盘或鼠标完成。
安装 gv package,如下:
&prompt.root; pkg_add -r gv
如果您无法获取预编译的包, 则可以使用 Ports
collection:
&prompt.root; cd /usr/ports/print/gv
&prompt.root; make install clean
Xpdf
Xpdf
PDF
查看器
如果您想要一个小型的 FreeBSD PDF 查看器,
Xpdf 是一个小巧并且高效的查看器。
它只需要很少的资源而且非常稳定。它使用标准的 X
字体并且不需要 &motif; 或者其它的
X 工具包。
安装 Xpdf package,使用如下命令:
&prompt.root; pkg_add -r xpdf
如果 package 不可用或者您宁愿使用 Ports Collection,如下:
&prompt.root; cd /usr/ports/graphics/xpdf
&prompt.root; make install clean
一旦安装完成,您就可以启动
Xpdf 并且使用鼠标右键来使用菜单。
GQview
GQview
GQview 是一个图片管理器。
您可以单击鼠标来观看一个文件、开启一个外部编辑器、
使用预览和更多的功能。它也有幻灯片播放模式和一些基本的文件操作。
您可以管理采集的图片并且很容易找到重复的。
GQview 可以全屏幕观看并且支持国际化。
如果您想要安装
GQview package,如下:
&prompt.root; pkg_add -r gqview
如果您没有可用的 package 或者您宁愿使用 Ports Collection,如下:
&prompt.root; cd /usr/ports/graphics/gqview
&prompt.root; make install clean
财务
假如,基于任何的理由,您想要在 FreeBSD Desktop
管理您个人的财政,有一些强大并且易于使用的软件可以被您选择安装。
它们中的一些与流行的文件格式兼容象
Quicken
和 Excel 文件。
本节涵盖如下程序:
软件名称
资源需求
安装时间
主要依赖
GnuCash
少
长
GNOME
Gnumeric
少
长
GNOME
Abacus
少
少
Tcl/Tk
+
+
+ KMyMoney
+ 少
+ 长
+ KDE
+
GnuCash
GnuCash
GnuCash 是
GNOME 的一部分,GNOME
致力于为最终用户提供用户友好且功能强大的软件。使用
GnuCash,您可以关注您的收入和开支、您的银行帐户,
或者您的股票。它的界面特性看起来非常的专业。
GnuCash 提供一个智能化的注册、帐户分级系统、
很多键盘快捷方式和自动完成方式。它能分开一个单个的处理到几个详细的部分。
GnuCash 能导入和合并
Quicken QIF 文件格式。
它也支持大部分的国际日期和流行的格式。
在您的系统中安装 GnuCash 所需的命令如下:
&prompt.root; pkg_add -r gnucash
如果 package 不可用,您可以使用 Ports Collection 安装:
&prompt.root; cd /usr/ports/finance/gnucash
&prompt.root; make install clean
Gnumeric
Gnumeric
电子表格
Gnumeric
Gnumeric 是一个电子表格程序,
GNOME 桌面环境的一部分。
它以通过元素格式和许多片断的自动填充系统来方便的自动猜测
用户输入而著称。
它能导入一些流行的文件格式,比如象 Excel、
Lotus 1-2-3 或 Quattro Pro。
Gnumeric 凭借 math/guppi 支持图表。
它有大量的嵌入函数和允许所有通常比如象、数字、货币、日期、
时间等等的一些单元格式。
以 package 方式安装 Gnumeric 的方法如下:
&prompt.root; pkg_add -r gnumeric
如果 package 不可用,您可以使用 Ports Collection 安装:
&prompt.root; cd /usr/ports/math/gnumeric
&prompt.root; make install clean
Abacus
Abacus
spreadsheet
Abacus
Abacus 是一个小巧易用的电子表格程序。
它包含许多嵌入函数在一些领域如统计学、财务和数学方面很有帮助。
它能导入和输出 Excel 文件格式。
Abacus 可以产生 &postscript;
输出。
以 package 的方式安装 Abacus 的方法如下:
&prompt.root; pkg_add -r abacus
如果 package 不可用,您可以使用 Ports Collection 安装:
&prompt.root; cd /usr/ports/deskutils/abacus
+&prompt.root; make install clean
+
+
+
+ KMyMoney
+
+ KMyMoney
+
+
+ spreadsheet
+ KMyMoney
+
+
+ KMyMoney 是一个 KDE
+ 环境下的个人财务管理软件。 KMyMoney
+ 旨在提供并融合各种商业财务管理软件所有的重要特性。
+ 它也同样注重易用性和特有的复式记帐功能。 KMyMoney
+ 能从标准的 Quicken Interchange Format (QIF) 文件导入数据,
+ 追踪投资,处理多种货币并能提供一个财务报告。
+ 另有可用的插件支持导入 OFX 格式的数据。
+
+ 以 package 的方式安装 KMyMoney
+ 的方法如下:
+
+ &prompt.root; pkg_add -r kmymoney2
+
+ 如果 package 不可用,您可以使用 Ports Collection 安装:
+
+ &prompt.root; cd /usr/ports/finance/kmymoney2
&prompt.root; make install clean
总结
尽管 FreeBSD 由于其高性能和可靠性而获得了许多 ISP 的信赖,
但它也完全可以用于桌面环境。 拥有数以千计的
packages 和
ports
能够帮您迅速建立完美的桌面环境。
下面是本章涉及到的所有的软件的简要回顾:
软件名称
Package 名称
Ports 名称
Mozilla
mozilla
www/mozilla
Opera
opera
www/opera
Firefox
firefox
www/firefox
KOffice
koffice-kde3
editors/koffice-kde3
AbiWord
abiword
editors/abiword
The GIMP
gimp
graphics/gimp
OpenOffice.org
openoffice
editors/openoffice-1.1
&acrobat.reader;
acroread
print/acroread7
gv
gv
print/gv
Xpdf
xpdf
graphics/xpdf
GQview
gqview
graphics/gqview
GnuCash
gnucash
finance/gnucash
Gnumeric
gnumeric
math/gnumeric
Abacus
abacus
deskutils/abacus
diff --git a/zh_CN.GB2312/books/handbook/geom/chapter.sgml b/zh_CN.GB2312/books/handbook/geom/chapter.sgml
index 250f6006d4..7e777488b6 100644
--- a/zh_CN.GB2312/books/handbook/geom/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/geom/chapter.sgml
@@ -1,609 +1,609 @@
Tom
Rhodes
原作
GEOM: 模块化磁盘变换框架
概述
GEOM
GEOM 磁盘框架
GEOM
本章将介绍以 &os; GEOM 框架来使用磁盘。
这包括了使用这一框架来配置的主要的 RAID
控制工具。 这一仗不会深入讨论 GEOM
如何处理或控制 I/O、 其下层的子系统或代码。
您可以从 &man.geom.4; 联机手册及其众多 SEE ALSO 参考文献中得到这些信息。
这一章也不是对 RAID 配置的权威介绍,
它只介绍由 支持GEOM 的 RAID
级别。
读完这章, 您将了解:
通过 GEOM 支持的 RAID 类型。
如何使用基本工具来配置和管理不同的 RAID
级别。
如何通过 GEOM 使用镜像、 条带、 加密和挂接在远程的磁盘设备。
如何排除挂接在 GEOM 框架上的磁盘设备的问题。
阅读这章之前, 您应:
理解 &os; 如何处理磁盘设备
()。
了解如何配置和安装新的 &os; 内核
()。
GEOM 介绍
GEOM 允许访问和控制类 (classes) — 主引导记录、
BSD 标签 (label), 等等 — 通过使用
provider, 或在
/dev 中的特殊文件。
它支持许多软件 RAID 配置, GEOM 能够向操作系统,
以及在其上运行的工具提供透明的访问方式。
Tom
Rhodes
原作
Murray
Stokely
RAID0 - 条带
GEOM
条带
条带是一种将多个磁盘驱动器合并为一个卷的方法。
许多情况下, 这是通过硬件控制器来完成的。 GEOM
磁盘子系统提供了 RAID0 的软件支持,
它也成为磁盘条带。
在 RAID0 系统中, 数据被分为多个块,
这些块将分别写入阵列的所有磁盘。 与先前需要等待系统将 256k
数据写到一块磁盘上不同, RAID0 系统,
能够同时分别将打碎的 64k 写到四块磁盘上, 从而提供更好的 I/O
性能。 这一性能提升还能够通过使用多个磁盘控制器来进一步改进。
在 RAID0 条带中的每一个盘的尺寸必须一样,
因为 I/O 请求是分散到多个盘上的, 以便让这些盘上的读写并行完成。
磁盘条带图
在未格式化的 ATA 磁盘上建立条带
加载 geom_stripe
模块:
&prompt.root; kldload geom_stripe
确信存在合适的挂接点 (mount point)。 如果这个卷将成为根分区,
那么暂时把它挂接到其他位置i, 如 /mnt:
&prompt.root; mkdir /mnt
确定将被做成条带卷的磁盘的设备名,
并创建新的条带设备。 举例而言,
要将两个未用的、 尚未分区的 ATA 磁盘
/dev/ad2 和
/dev/ad3 做成一个条带设备:
&prompt.root; gstripe label -v st0 /dev/ad2 /dev/ad3
接着需要写标准的 label, 也就是通常所说的分区表到新卷上,
并安装标准的引导代码:
&prompt.root; bsdlabel -wB /dev/stripe/st0
上述过程将在
/dev/stripe
目录中的 st0 设备基础上建立两个新设备。
这包括 st0a 和
st0c。 这时, 就可以在
st0a 设备上用下述
newfs 命令来建立文件系统了:
&prompt.root; newfs -U /dev/stripe/st0a
在屏幕上将滚过一些数字, 整个操作应该能在数秒内完成。
现在可以挂接刚刚做好的卷了。
要挂接刚创建的条带盘:
&prompt.root; mount /dev/stripe/st0a /mnt
要在启动过程中自动挂接这个条带上的文件系统,
需要把关于卷的信息放到
/etc/fstab 文件中:
&prompt.root; echo "/dev/stripe/st0a /mnt ufs rw 2 2" \
>> /etc/fstab
此外, geom_stripe 模块也必须通过在
/boot/loader.conf 中增加下述设置,
以便在系统初始化过程中自动加载。
&prompt.root; echo 'geom_stripe_load="YES"' >> /boot/loader.conf
RAID1 - 镜像
GEOM
磁盘镜像
镜像是一种许多公司和家庭用户使用的不需中断的备份技术。
当存在镜像时, 它的意思是说 磁盘B 简单地复制 磁盘A。
或者, 也可能是 磁盘C+D
复制 磁盘A+B。 无论磁盘如何配置, 共同的特征,
都是磁盘或卷的信息会被复制。 随后,在无需中断服务或访问的情况下,
可以很容易地复原和备份这些信息, 甚至把它们存储到其他更安全的地方。
要开始做这件事, 首先要确保系统中有两个同样大的磁盘驱动器,
下面的例子假定使用直接访问方式 (Direct Access, &man.da.4;)
SCSI 的磁盘。
首先需要把 &os; 安装到第一块磁盘上, 并建立两个分区。
第一个分区将成为交换区, 其尺寸应该是两倍的
RAM 尺寸, 而余下的空间,
则作为根 (/) 文件系统来使用。
当然, 也可以为其他挂接点划分不同的分区;
但是, 这将使难度提高一个量级,
因为您将不得不手工修改 &man.bsdlabel.8; 和 &man.fdisk.8;
的设置。
重新启动系统, 并等待其完全初始化完。
当这个过程完成之后, 以 root
用户的身份登录。
创建 /dev/mirror/gm 设备,
并将其连接到 /dev/da1:
&prompt.root; gmirror label -vnb round-robin gm0 /dev/da1
系统应会给出下列回应:
Metadata value stored on /dev/da1.
Done.
初始化 GEOM, 这将加载
/boot/kernel/geom_mirror.ko 内核模块:
&prompt.root; gmirror load
这个命令应该会在
/dev/mirror
目录中创建
gm0 设备节点。
在刚创建的 gm0
设备上安装通用的 fdisk 标签以及引导区代码:
&prompt.root; fdisk -vBI /dev/mirror/gm0
接下来安装通用的 bsdlabel
信息:
&prompt.root; bsdlabel -wB /dev/mirror/gm0s1
如果存在多个区段 (slice) 或分区 (partition),
则需要修改一部分上面命令的参数。
它们必须与另一个盘上对应的区段和分区匹配。
使用 &man.newfs.8; 工具来在 gm0s1a
设备上建立默认的 UFS
文件系统:
&prompt.root; newfs -U /dev/mirror/gm0s1a
这将让系统输出很多信息和一系列数字。 不必为此担心,
只需看看是否有错误提示就可以了, 如果没问题, 接下来把它挂到
/mnt 挂接点上面:
&prompt.root; mount /dev/mirror/gm0s1a /mnt
现在需要把所有引导盘上的数据迁移到新的文件系统上了。
下面的例子使用了 &man.dump.8; 和 &man.restore.8;
这两个命令; 不过, 用 &man.dd.1; 在这里也可以达到完全一样的目的。
&prompt.root; dump -L -0 -f- / |(cd /mnt && restore -r -v -f-)
这个操作必须在所有文件系统上都作一遍。 您可以将前述命令中的文件系统,
改为所希望的文件系统的位置。
接下来应该编辑复制出来的 /mnt/etc/fstab
文件, 并删去或注释掉交换文件
需要注意的是,
在 fstab 注释掉交换文件,
通常会需要您以其他方式重建交换空间。
请参见 以了解进一步的细节。
。 修改其他文件系统对应的信息,
以便让它们使用新盘。 参考下面的例子:
# Device Mountpoint FStype Options Dump Pass#
#/dev/da0s2b none swap sw 0 0
/dev/mirror/gm0s1a / ufs rw 1 1
接下来应在当前和新 root 分区中分别建立一个 boot.config 文件。 它会
帮助
系统的 BIOS
从正确的驱动器上引导:
&prompt.root; echo "1:da(1,a)/boot/loader" > /boot.config
&prompt.root; echo "1:da(1,a)/boot/loader" > /mnt/boot.config
在所有的分区上都放这些是为了保证系统能够正确引导。
如果由于某种原因系统无法从新的根分区读数据,
则还有一根救命稻草。
用下面的命令来确保系统引导时会加载 geom_mirror.ko:
&prompt.root; echo 'geom_mirror_load="YES"' >> /mnt/boot/loader.conf
最后重新启动系统:
&prompt.root; shutdown -r now
如果一切顺利, 系统将从
gm0s1a 设备启动, 并给出 login
提示等待用户登录。 如果发生错误, 请查阅接下来的故障排除环节。 我们接着将
da0 磁盘也加入 gm0
设备:
&prompt.root; gmirror configure -a gm0
&prompt.root; gmirror insert gm0 /dev/da0
此处 告诉 &man.gmirror.8; 采用自动同步,
或换言之: 自动地将磁盘的写操作做镜像处理。 联机手册中详细解释了如何重建,
以及替换磁盘, 只不过它用 data
表示这里的 gm0。
故障排除
系统拒绝引导
如果系统引导时出现类似下面的提示:
ffs_mountroot: can't find rootvp
Root mount failed: 6
mountroot>
这种情况应使用电源或复位按钮重启机器。
在引导菜单中, 选择第六 (6) 个选项。
这将让系统进入 &man.loader.8; 提示符。
在此处手工加载内核模块:
OK? load geom_mirror
OK? boot
如果这样做能解决问题, 则说明由于某种原因模块没有被正确加载。
可以通过在内核配置文件中加入:
options GEOM_MIRROR
然后重新编译和安装内核来解决这个问题。
GEOM Gate 网络设备
通过 gate 工具, GEOM 支持以远程方式使用设备, 例如磁盘、
CD-ROM、 文件等等。 这和 NFS 类似。
在开始工作之前, 首先要创建一个导出文件。
这个文件的作用是指定谁可以访问导出的资源,
以及提供何种级别的访问授权。 例如,
要把第一块 SCSI 盘的第四个 slice 导出,
对应的 /etc/gg.exports 会是类似下面的样子:
192.168.1.0/24 RW /dev/da0s4d
这表示允许同属私有子网的所有机器访问
da0s4d 分区上的文件系统。
要导出这个设备, 首先请确认它没有被挂接,
然后是启动 &man.ggated.8; 服务:
&prompt.root; ggated
现在我们将在客户机上 mount 该设备,
使用下面的命令:
&prompt.root; ggatec create -o rw 192.168.1.1 /dev/da0s4d
ggate0
&prompt.root; mount /dev/ggate0 /mnt
到此为止, 设备应该已经可以通过挂接点
/mnt 访问了。
请注意, 如果设备已经被服务器或网络上的任何其他机器挂接,
则前述操作将会失败。
如果不再需要使用这个设备,
就可以使用 &man.umount.8; 命令来安全地将其卸下了,
这一点和其他磁盘设备类似。
为磁盘设备添加卷标
GEOM
磁盘卷标
在系统初始化的过程中, &os; 内核会为检测到的设备创建设备节点。
这种检测方式存在一些问题, 例如,
在通过 USB 添加设备时应如何处理?
很可能有闪存盘设备最初被识别为
da0 而在这之后, 则由
da0 变成了
da1。 而这则会在挂接
/etc/fstab 中的文件系统时造成问题,
这些问题, 还可能在系统引导时导致无法正常启动。
解决这个问题的一个方法是以连接拓扑方式链式地进行
SCSI 设备命名, 这样,
当在 SCSI 卡上增加新设备时, 这些设备将使用一个未用的编号。
但如果 USB 设备取代了主 SCSI 磁盘的位置呢?
由于 USB 通常会在 SCSI 卡之前检测到,
因此很可能出现这种现象。 当然, 可以通过在系统引导之后再插入这些设备来绕过这个问题。
另一种绕过这个问题的方法, 则是只使用
ATA 驱动器, 并避免在
/etc/fstab 中列出
SCSI 设备。
还有一种更好的解决方法。 通过使用
glabel 工具, 管理员或用户可以为磁盘设备打上标签, 并在
/etc/fstab 中使用这些标签。 由于
glabel 会将标签保存在对应 provider 的最后一个扇区,
在系统重启之后, 它仍会持续存在。 因此, 通过将具体的设备替换为使用标签表示,
无论设备节点变成什么, 文件系统都能够顺利地完成挂接。
这并不是说标签一定是永久性的。
glabel 工具既可以创建永久性标签, 也可以创建临时性标签。
在重启时, 只有永久性标签会保持。 请参见联机手册 &man.glabel.8;
以了解两者之间的差异。
标签类型和使用示范
有两种类型的标签, 一种是普通标签, 另一种是文件系统标签。
两者的差异体现在是否能够自动检测, 以及是否在重启后保持。 这些标签会放到
/dev 中的特殊目录中,
这些目录的名字取决于文件系统类型。 例如,
UFS2 文件系统的标签会创建到
/dev/ufs2
目录中。
普通标签在系统下次重启时会消失, 这些标签会创建到
/dev/label 目录中,
很适合测试之用。
永久性标签可以使用
tunefs 或 newfs
工具来创建。 要为
UFS2 文件系统创建标签, 而不破坏其上的数据,
可以使用下面的命令:
&prompt.root; tunefs -L home /dev/da3
如果文件系统满了, 这可能会导致数据损坏; 不过, 如果文件系统快满了,
此时应首先删除一些无用的文件, 而不是增加标签。
现在, 您应可以在
/dev/ufs2 目录中看到标签,
并将其加入 /etc/fstab:
/dev/ufs2/home /home ufs rw 2 2
当运行 tunefs 时, 应首先卸下文件系统。
现在可以像平时一样挂接文件系统了:
&prompt.root; mount /home
下列命令可以清除标签:
&prompt.root; glabel destroy home
现在, 只要在系统引导时通过 /boot/loader.conf 配置加载了内核模块
geom_label.ko, 或在联编内核时指定了
GEOM_LABEL 选项,
设备节点由于增删设备而顺序发生变化时, 就不会影响文件系统的挂接了。
通过使用 newfs 命令的
参数, 可以在创建文件系统时为其添加默认的标签。
请参见联机手册 &man.newfs.8; 以了解进一步的详情。
通过 GEOM 实现 UFS 日志
GEOM
日志
随着 &os; 7.0 的发布, 实现了长期为人们所期待的
UFS 日志。 这个实现采用了
GEOM 子系统, 可以很容易地使用 &man.gjournal.8; 工具来进行配置。
日志是什么? 日志的作用是保存文件系统事务的记录, 换言之,
完成一次完整的磁盘写入操作所需的变动, 这些记录会在元数据以及文件数据写盘之前,
写入到磁盘中。 这种事务日志可以在随后用于重放并完成文件系统事务,
以避免文件系统出现不一致的问题。
这种方法是另一种阻止文件系统丢失数据并发生不一致的方法。 与 Soft Updates
追踪并确保元数据更新顺序这种方法不同, 它会实际地将日志保存到磁盘最后的扇区,
或另外一块磁盘上。
与其他文件系统的日志实现不同,
gjournal 采用的是基于块, 而不是作为文件系统的一部分的方式 -
它只是作为一种
GEOM 扩展实现。
如果希望启用 gjournal,
&os; 内核需要下列选项 - 这是 7.X 系统上的默认配置:
options UFS_GJOURNAL
现在, 可以为空闲的文件系统创建日志了。 对于新增的 SCSI 磁盘
da4, 具体的操作步骤为:
&prompt.root; gjournal label /dev/da4
gjournal load
这样, 就会出现一个与
/dev/da4 设备节点对应的
/dev/da4.journal 设备节点。
接下来, 可以在这个设备上简历文件系统:
&prompt.root; newfs -O 2 -J /dev/da4.journal
这个命令将建立一个包含日志的
UFS2 文件系统。
然后就可以用 mount 命令来挂接设备了:
&prompt.root mount /dev/da4.journal /mnt
当磁盘包含多个 slice 时, 每个 slice 上都会建立日志。
例如, 如果有 ad4s1 和 ad4s2
这两个 slice, 则 gjournal 会建立
ad4s1.journal 和 ad4s2.journal。 如果连续运行两次这个命令, 则会建立
多层日志
。
在某些情况下, 可能会希望在其他磁盘上保存日志。 对于这些情形,
日志提供者或存储设备, 应在启用日志的设备后给出。 在暨存的文件系统上,
可以用 tunefs 来启用日志; 不过,
在尝试修改文件系统之前, 您应对其进行备份。 多数情况下,
gjournal 会因为无法建立日志而失败, 在误用
tunefs 时, 这可能导致失败。
diff --git a/zh_CN.GB2312/books/handbook/jails/chapter.sgml b/zh_CN.GB2312/books/handbook/jails/chapter.sgml
index 8618ac4264..daac615954 100644
--- a/zh_CN.GB2312/books/handbook/jails/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/jails/chapter.sgml
@@ -1,818 +1,818 @@
Matteo
Riondato
原作
Jails
jails
概述
这一章将为您介绍 &os; jail 是什么, 以及如何使用它们。
Jail, 有时也被认为是对 chroot 环境
的一种增强型替代品, 对于管理员而言是非常强大的工具, 同时,
它的一些基本用法, 对高级用户而言也相当有用。
读完这章, 您将了解:
jail 是什么, 以及它在您安装的 &os;
中所能发挥的作用。
如何联编、 启动和停止 jail。
如何从 jail 内部或主机上进行管理的一些基础知识。
其他一些能够为您提供关于 jail 的有用信息的地方还有:
&man.jail.8; 联机手册。 这是关于 jail —
用于在 &os; 中启动、 停止和控制 &os; jails — 工具的完整说明书。
邮件列表及其存档。 由 &a.mailman.lists; 提供的
&a.questions; 和其他邮件列表的存档, 已经包含了一系列关于
jails 的有价值的信息。 通常搜索存档或询问 &a.questions.name;
邮件列表能够给您带来很多有用的信息。
与 Jail 相关的一些术语
为了帮助您更好地理解与 jail 有关的 &os; 系统知识,
以及它们如何与 &os; 的其它部分相互作用, 您应理解下列术语:
&man.chroot.2; (命令)
&os; 的一个系统调用, 其作用是改变进程及其衍生进程所能看到的根目录。
&man.chroot.2; (环境)
在 chroot
中运行的进程环境。
这包括类似文件系统中的可见部分、 可用的用户及用户组 ID、
网络接口以及其他 IPC 机制等资源。
&man.jail.8; (命令)
用以在 jail 环境中运行进程的系统管理工具。
宿主 (系统、 进程、 用户等等)
能够控制 jail 环境的系统。 宿主系统能够访问全部可用的硬件资源,
并能够控制 jail 环境内外的进程。 宿主系统与 jail 的一项重要区别是,
在宿主系统中的超级用户进程, 并不像在
jail 中那样受到一系列限制。
hosted (系统、 进程、 用户等等)
可访问资源受 &os; jail 限制的进程、 用户或其他实体。
介绍
由于系统管理是一项困难而又令人费解的任务, 因此人们开发了一系列强大的工具,
来让管理员的工作变得更加简单。 这些改进通常是让系统能够以更简单的方式安装、
配置, 并毫无问题地持续运转。 这其中, 许多管理员希望能够为系统正确地进行安全方面的配置,
使其能够用于真正的用途, 而阻止安全方面的风险。
&os; 系统提供的一项用于改善安全的工具就是 jail。
jail 是在 &os; 4.X 中由 &a.phk; 引入的, 它在
- &os; 5.X 中又进行了一系列改进, 使得它称为一个强大而灵活的系统。
+ &os; 5.X 中又进行了一系列改进, 使得它成为了一个强大而灵活的系统。
目前仍然在对其进行持续的开发, 以提高其可用性、 性能和安全性。
Jail 是什么
BSD-类的操作系统从 4.2BSD 开始即提供了 &man.chroot.8;。
&man.chroot.2; 工具能够改变一组进程的根目录的位置,
从而建立一个与系统中其他部分相隔离的安全环境: 在 chroot 环境中的进程,
将无法访问其外的文件或其他资源。 正是由于这种能力,
即使攻击者攻破了某一个运行于 chroot 环境的服务, 也不能攻破整个系统。
&man.chroot.8; 对于哪些不需要很多灵活性或复杂的高级功能的简单应用而言相当好用。
另外, 在引入 chroot 概念的过程中, 曾经发现过许多跳出
chroot 环境的方法, 尽管这些问题在较新的 &os; 版本中已经修正, 但很明显地,
&man.chroot.8; 并不是一项用于加固服务安全的理想解决方案。
因此, 必须实现一个新的子系统来解决这些问题。
这就是为什么要开发
jail 最主要的原因。
Jail 以多种方式改进了传统的
&man.chroot.2; 环境概念。 在传统的
&man.chroot.2; 环境中, 只限制了进程能够访问文件系统的哪些部分。
其他部分的系统资源 (例如系统用户、 正在运行的进程, 以及网络子系统)
是由 chroot 进程与宿主系统中的其他进程共享的。 jail 扩展了这个模型,
它不仅将文件系统的访问虚拟化, 而且还将用户、 &os; 的网络子系统,
以及一些其他系统资源虚拟化。 关于这些精细控制以及调整 jail
环境访问能力的更具体的介绍, 可参见 。
jail 具有以下四项特点:
目录子树 — 进入 jail 的起点。 一旦进入了 jail,
进程就不再被允许访问这棵子树以外的对象。 传统上影响到最初
&man.chroot.2; 设计的安全问题不会影响 &os; jail。
主机名 — 将用于 jail 的主机名。 jail 主要用于存放网络服务,
因此在每个 mail 上能够标注一个有意义的主机名,
能够在很大程度上简化系统管理员的工作。
IP 地址 — 这个地址是指定给 jail 的,
在 jail 的生命周期内都无法改变。 通常 jail 的 IP 地址是某一个网络接口上的别名地址,
但这并不是必需的。
命令 — 准备在 jail 中执行的可执行文件的完整路径名。
这个命令是相对于 jail 环境的根目录的, 随 jail 环境的类型不同,
可能会有很多不同之处。
除了这些之外, jail 也可以拥有自己的用户和自己的
root 用户。 自然, 这里的 root
用户的权力会受限于 jail 环境, 并且, 从宿主系统的观点看来,
jail root 用户并不是一个无所不能的用户。
此外, jail 中的 root 用户不能执行除了其对应 &man.jail.8;
环境之外的系统中的一些关键操作。 关于
root 用户的能力和限制, 在后面的 中将加以介绍。
建立和控制 jail
一些系统管理员喜欢将 jail 分为两类:
完整的
jail, 通常包含真正的 &os; 系统,
以及 服务
jail, 专用于执行一个可能使用特权的应用或服务。
这只是一种概念上的区分, 并不影响如何建立 jail 的过程。
在联机手册 &man.jail.8; 中对如何创建 jail 进行了清晰的阐述:
&prompt.root; setenv D /here/is/the/jail
&prompt.root; mkdir -p $D
&prompt.root; cd /usr/src
&prompt.root; make world DESTDIR=$D
-&prompt.root; cd etc/ This step
-is not required on &os; 6.0 and later.
+&prompt.root; cd etc/ 在 &os; 6.0 及
+之后的版本中不必须进行这个步骤。
&prompt.root; make distribution DESTDIR=$D
&prompt.root; mount_devfs devfs $D/dev
- 为 jail 选择一个位置是建立它的第一步。 这个路径是在宿主系统中 jail
+ 第一步就是为 jail 选择一个位置。 这个路径是在宿主系统中 jail
的物理位置。 一种常用的选择是 /usr/jail/jailname,
此处 jailname 是 jail 的主机名。 /usr/ 文件系统通常会有足够的空间来保存 jail
文件系统, 对于 完整
的 jail 而言,
- 这通常包含 &os; 默认安装的基本系统中每个文件的副本。
+ 它通常包含了 &os; 默认安装的基本系统中每个文件的副本。
这个命令将在 jail 目录中安装所需的可执行文件、 函数库以及联机手册等。
这些是以传统的 &os; 风格的方式完成的 — 首先联编所有的文件,
然后将其安装到目标路径。
distribution 这个
make target 将安装全部配置文件,
或者换句话说, 就是将
/usr/src/etc/ 复制到 jail 环境中的
/etc:
$D/etc/。
- 在 jail 中挂接 &man.devfs.8; 文件系统并不是必需的。
+ 在 jail 中不是必须要挂接 &man.devfs.8; 文件系统。
而另一方面, 几乎所有的应用程序都会需要访问至少一个设备,
这主要取决于应用程序的性质和目的。 控制 jail 中能够访问的设备非常重要,
因为不正确的配置, 很可能允许攻击者在
jail 中进行一些恶意的操作。 通过 &man.devfs.8; 实施的控制,
可以通过由联机手册 &man.devfs.8; 和
&man.devfs.conf.5; 介绍的规则集配置来实现。
一旦装好了 jail, 就可以使用
&man.jail.8; 工具来安装它了。 &man.jail.8; 工具需要四个必填参数,
这些参数在 中进行了介绍。 除了这四个参数之外,
您还可以指定一些其他参数, 例如, 以特定用户身份来在 jail 中运行程序等等。
这里, 参数取决于您希望建立的 jail
的类型; 对于 虚拟系统, 可以选择
/etc/rc, 因为它会完成真正的 &os; 系统启动所需的操作。 对于
服务 jail, 执行的命令取决于将在 jail
中运行的应用程序。
Jail 通常应在系统启动时启动, 因此, &os;
rc 机制提供了一些很方便的机制来简化这些工作。
在引导时需要启动的 jail 列表应写入 &man.rc.conf.5; 文件:
jail_enable="YES" # 如果设为 NO 则表示不自动启动 jail
jail_list="www" # 以空格分隔的 jail 名字列表
对于 jail_list 中列出的 jail,
还应指定一系列对应的 &man.rc.conf.5; 设置, 用以描述具体的 jail:
jail_www_rootdir="/usr/jail/www" # jail 的根目录
jail_www_hostname="www.example.org" # jail 的主机名
jail_www_ip="192.168.0.10" # jail 的 IP 地址
jail_www_devfs_enable="YES" # 在 jail 中挂接 devfs
jail_www_devfs_ruleset="www_ruleset" # 在 jail 中应用的devfs 规则集
默认情况下, 在
&man.rc.conf.5; 中配置启动的 jail 会执行其中的 /etc/rc
脚本, 也就是说, 默认情况下将 jail 作为虚拟系统方式来启动。
对于服务 jail, 您应另外指定启动命令, 方法是设置对应的
jail_jailname_exec_start
配置。
如欲了解全部可用的选项, 请参阅联机手册
&man.rc.conf.5;。
/etc/rc.d/jail 脚本也可以用于手工启动或停止
rc.conf 中配置的 jail:
&prompt.root; /etc/rc.d/jail start www
&prompt.root; /etc/rc.d/jail stop www
- 目前, 尚没有一项方法来很干净地关闭 &man.jail.8;。
+ 目前, 尚没有一种方法来很干净地关闭 &man.jail.8;。
这是因为通常用于正常关闭系统的命令, 目前尚不能在 jail 中使用。
目前, 关闭 jail 最好的方式, 是在 jail 外通过 &man.jexec.8; 工具,
在 jail 中执行下列命令:
&prompt.root; sh /etc/rc.shutdown
更进一步的详细说明, 请参见联机手册 &man.jail.8;。
微调和管理
您可以为 jail 设置许多不同的选项, 并让 &os; 宿主系统以不同的方式与 jail 交互,
以支持更高级别的应用。 这一节将介绍:
一些用于微调 jail 行为和安全限制的选项。
一些可以通过 &os; Ports 套件安装的高级 jail 管理应用程序,
这些程序可以用于实现一般的基于 jail 的解决方案。
&os; 提供的用于微调 jail 的系统工具
对于 jail 的配置微调, 基本上都是通过设置 &man.sysctl.8; 变量来完成的。
系统提供了一个特殊的 sysctl 子树, 全部相关的选项均在这棵子树中; 这就是 &os; 内核的
security.jail.* 选项子树。 下面是与 jail 有关的主要 sysctl,
以及这些变量的默认值。 这些名字都比较容易理解, 如欲了解进一步的详情,
请参阅联机手册 &man.jail.8; 和 &man.sysctl.8;。
security.jail.set_hostname_allowed:
1
security.jail.socket_unixiproute_only:
1
security.jail.sysvipc_allowed:
0
security.jail.enforce_statfs:
2
security.jail.allow_raw_sockets:
0
security.jail.chflags_allowed:
0
security.jail.jailed: 0
- 系统管理员可以在中 宿主系统 中,
+ 系统管理员可以在 宿主系统 中,
透过设置这些变量的值来默认为
root 用户增加或取消限制。 需要注意的是,
某些限制是不能够取消的。 在 &man.jail.8; 中的
root 用户, 无法挂载或卸下文件系统, 此外在 jail 中的
root 用户也不能加载或卸载
&man.devfs.8; 规则集、 配置防火墙规则, 或执行其他需要修改内核数据的管理操作,
例如设置内核的 securelevel 等等。
- &os; 的基本系统包含一系列用于查看目前在用的 jail 信息, 以及接入
+ &os; 的基本系统包含一系列用于查看目前在使用的 jail 信息, 以及接入
jail 并执行管理命令所需的基本工具。 &man.jls.8; 和
&man.jexec.8; 命令都是 &os; 基本系统的一部分, 并可用于执行简单的任务:
列出在用的 jail 以及对应的
jail 标识 (JID)、
IP 地址、 主机名和路径。
从宿主系统中接入正在运行的 jail, 并在其中执行命令, 以完成一系列
jail 管理任务。 这在
root 希望干净地关闭
jail 时非常有用。 &man.jexec.8; 工具也可以用于在 jail 中启动
shell 以便对其进行管理; 例如:
&prompt.root; jexec 1 tcsh
由 &os; Ports 套件提供的高级管理工具
- 在众多第三方 jail 管理工具中, 最完整和好用的一个是 sysutils/jailutils。 这是一系列方便 &man.jail.8;
- 管理的小工具。 请参见其网站以了解进一步的详情。
+ 在众多第三方 jail 管理工具中, sysutils/jailutils 是最完整和好用的。
+ 它是一系列方便 &man.jail.8; 管理的小工具。 请参见其网站以了解进一步的详情。
Jail 的应用
Daniel
Gerzo
原作
服务 Jail
这一节主要基于
&a.simon; 的 中的思路,
以及由 Ken Tom
locals@gmail.com 更新的文档。 这一节中描述了如何配置
&os; 系统的 &man.jail.8; 功能为其增加一个安全层次。
这部分假定您运行 RELENG_6_0 或更新版本, 并理解本章之前部分的内容。
设计
jail 的一个主要问题是如何对它们进行升级和管理。
由于每个 jail 都是从头联编的, 对于单个 jail 而言升级也许还不是个很严重的问题,
因为升级不会太过麻烦, 而对于多个 jail 而言, 升级不仅会耗费大量时间,
- 并且十分乏味的过程。
+ 并且是十分乏味的过程。
这个配置过程需要您对 &os; 有较多的配置和使用经验。
如果这些过程显得太过复杂, 您应考虑使用较简单的系统, 例如 sysutils/ezjail,
它提供了更简单的管理 &os; jail 的方法。
基本的想法是, 在不同的 jail 中尽可能多地以安全的方式使用共享的资源
— 使用只读的 &man.mount.nullfs.8; 挂接, 这会让升级简单许多,
从而使为每个服务建立不同的 jail 这种方案变得更加可行。 另外,
- 它也为增加或删除以及升级 jail 提供了更为便捷的方法。
+ 它也为增加、删除以及升级 jail 提供了更为便捷的方法。
在这里服务的常见例子包括:
HTTP 服务、 DNS
服务、 SMTP 服务等等, 诸如此类。
这节介绍的配置的目的包括:
建立简单并易于理解的 jail 结构。
也就是说 不必 为每个 jail 执行完整的
installworld 操作。
使增删 jail 更容易。
使更新或升级 jail 更容易。
使运行自订的 &os; 分支成为可能。
对安全的更偏执的追求, 尽可能减少被攻陷的可能。
尽可能节省空间和 inode。
如前面提到的那样, 这个设计极大程度上依赖于将一份只读的主模板
- (known as nullfs) 挂接到没一个
+ (known as nullfs) 挂接到每一个
jail 中, 并为每个 jail 配置一个可读写的设备。 这种设备可以是物理磁盘、
分区, 或以 vnode 为后端的
&man.md.4; 设备。 在这个例子中, 我们将使用可读写的
nullfs 挂接。
下面的表中描述了文件系统格局:
每个 jail 挂接到 /home/j 目录下的一个目录。
/home/j/mroot
是每个 jail 共用的模板, 对于所有的 jail 而言都是只读的。
在 /home/j
目录中, 每个 jail 有一个对应的空目录。
每个 jail 中都有一个 /s 目录, 这个目录将连接到系统中的可读写部分。
每个 jail 应基于 /home/j/skel 建立其可读写空间。
每个 jailspace (jail 中的可读写部分) 应创建到 /home/js。
这假定所有的 jail 都放置于
/home 分区中。 当然,
您可以根据需要将这个配置改为需要的任何样子,
但在接下来的例子中, 也应相应地加以变动。
建立模板
这一节将介绍创建 jail 所需的只读主模板所需的步骤。
一般来说, 您应将系统升级到最新的 &os; -RELEASE 分支, 具体做法请参见本手册的相关
章节。
当更新不可行时, 则需要完成 buildworld 过程, 另外, 您还需要 sysutils/cpdup 软件包。
我们将使用 &man.portsnap.8; 工具来下载 &os; Ports 套件。 在使用手册的 Portsnap 章节
中, 提供了针对初学者的介绍。
首先, 需要为将要存放只读的 &os; 执行文件的文件系统建立一个目录,
接着进入 &os; 源代码的目录, 并在其中安装 jail
模板:
&prompt.root; mkdir /home/j /home/j/mroot
&prompt.root; cd /usr/src
&prompt.root; make installworld DESTDIR=/home/j/mroot
接着, 准备一份 &os; Ports 套件, 以及用于执行
mergemaster 的 &os; 源代码:
&prompt.root; cd /home/j/mroot
&prompt.root; mkdir usr/ports
&prompt.root; portsnap -p /home/j/mroot/usr/ports fetch extract
&prompt.root; cpdup /usr/src /home/j/mroot/usr/src
创建系统中可读写部分的骨架:
&prompt.root; mkdir /home/j/skel /home/j/skel/home /home/j/skel/usr-X11R6 /home/j/skel/distfiles
&prompt.root; mv etc /home/j/skel
&prompt.root; mv usr/local /home/j/skel/usr-local
&prompt.root; mv tmp /home/j/skel
&prompt.root; mv var /home/j/skel
&prompt.root; mv root /home/j/skel
使用 mergemaster 安装缺失的配置文件。
接下来, 删除 mergemaster
创建的多余目录:
&prompt.root; mergemaster -t /home/j/skel/var/tmp/temproot -D /home/j/skel -i
&prompt.root; cd /home/j/skel
&prompt.root; rm -R bin boot lib libexec mnt proc rescue sbin sys usr dev
现在, 将可读写文件系统连接到只读文件系统中。 请确保您在 s/ 目录中建立了适当的符号连接。
如果没有建立目录或建立的位置不正确, 可能会导致安装失败。
&prompt.root; cd /home/j/mroot
&prompt.root; mkdir s
&prompt.root; ln -s s/etc etc
&prompt.root; ln -s s/home home
&prompt.root; ln -s s/root root
&prompt.root; ln -s ../s/usr-local usr/local
&prompt.root; ln -s ../s/usr-X11R6 usr/X11R6
&prompt.root; ln -s ../../s/distfiles usr/ports/distfiles
&prompt.root; ln -s s/tmp tmp
&prompt.root; ln -s s/var var
最后, 创建一个默认的包含下列配置的
/home/j/skel/etc/make.conf:
WRKDIRPREFIX?= /s/portbuild
配置 WRKDIRPREFIX 使得在每个 jail
中分别编译 &os; 成为可能。 请注意 ports 目录是只读系统的一部分。 而自订的
WRKDIRPREFIX 则使得联编过程得以在 jail
中的可读写部分完成。
建立 Jail
现在我们已经有了完整的 &os; jail 模板, 可以在
/etc/rc.conf 中安装并配置它们了。
这个例子中演示了建立 3 个 jail: NS
、
MAIL
和 WWW
。
在 /etc/fstab 文件中加入下列配置,
以便让系统自动挂接 jail 的只读模板和读写空间:
/home/j/mroot /home/j/ns nullfs ro 0 0
/home/j/mroot /home/j/mail nullfs ro 0 0
/home/j/mroot /home/j/www nullfs ro 0 0
/home/js/ns /home/j/ns/s nullfs rw 0 0
/home/js/mail /home/j/mail/s nullfs rw 0 0
/home/js/www /home/j/www/s nullfs rw 0 0
扫描批次号 (pass number) 为 0 的分区不会在启动时使用 &man.fsck.8;
进行检查, 而转存批次号 (dump number) 为 0 的分区则不会在
&man.dump.8; 时备份。 我们不希望
fsck 检查
nullfs 挂接, 或让
dump 备份 jail 中的只读
nullfs 挂接。 这就是为什么在每个 fstab
条目的最后两列是 0 0
的原因。
在
/etc/rc.conf 中配置 jail:
jail_enable="YES"
jail_set_hostname_allow="NO"
jail_list="ns mail www"
jail_ns_hostname="ns.example.org"
jail_ns_ip="192.168.3.17"
jail_ns_rootdir="/usr/home/j/ns"
jail_ns_devfs_enable="YES"
jail_mail_hostname="mail.example.org"
jail_mail_ip="192.168.3.18"
jail_mail_rootdir="/usr/home/j/mail"
jail_mail_devfs_enable="YES"
jail_www_hostname="www.example.org"
jail_www_ip="62.123.43.14"
jail_www_rootdir="/usr/home/j/www"
jail_www_devfs_enable="YES"
应把
jail_name_rootdir
变量设置成 /usr/home 而不是
/home 的原因是
/home
目录在默认安装的 &os; 上是指向
/usr/home
的一个符号连接。 而
jail_name_rootdir
变量必须是一个 不 包含符号连接的路径,
否则 jail 将拒绝启动。 可以使用 &man.realpath.1;
工具来决定这一变量应被赋予一个什么样的值。
更详细的信息请参阅安全公告 &os;-SA-07:01.jail
为每个 jail 创建所需的只读文件系统挂接点:
&prompt.root; mkdir /home/j/ns /home/j/mail /home/j/www
在 jail 中安装可读写的模板。 注意您需要使用 sysutils/cpdup,
它能够帮助您确保每个目录都是正确地复制的:
&prompt.root; mkdir /home/js
&prompt.root; cpdup /home/j/skel /home/js/ns
&prompt.root; cpdup /home/j/skel /home/js/mail
&prompt.root; cpdup /home/j/skel /home/js/www
这样, 就完成了 jail 的制作, 可以运行了。 首先为
jail 挂接文件系统, 然后使用
/etc/rc.d/jail 脚本来启动它们:
&prompt.root; mount -a
&prompt.root; /etc/rc.d/jail start
现在 jail 应该就启动起来了。 要检查它们是否运行正常,
可以使用 &man.jls.8; 命令。 它的输出应该类似这样:
&prompt.root; jls
JID IP Address Hostname Path
3 192.168.3.17 ns.example.org /home/j/ns
2 192.168.3.18 mail.example.org /home/j/mail
1 62.123.43.14 www.example.org /home/j/www
这时, 就可以登入 jail 并增加用户和配置服务了。
JID 列给出了正在运行的 jail 的标识编号。
您可以使用下面的命令来在 JID 编号为 3 的 jail
中执行管理任务:
&prompt.root; jexec 3 tcsh
升级
有时, 由于安全问题, 或新增功能有用, 会希望将系统升级到一个新版本的 &os;。
这种安装方式的设计使得升级现有 jail 变得很容易。 另外,
它也能最大限度地减小停机时间, 因为 jail 只在最后时刻才需要关闭。
另外, 它也提供了简单的回退到先前版本的方法。
第一步是按通常的方法升级主机的系统。 接着,
在 /home/j/mroot2 中建立一个新的临时模板:
&prompt.root; mkdir /home/j/mroot2
&prompt.root; cd /usr/src
&prompt.root; make installworld DESTDIR=/home/j/mroot2
&prompt.root; cd /home/j/mroot2
&prompt.root; cpdup /usr/src usr/src
&prompt.root; mkdir s
在运行 installworld 时会创建一些不需要的目录,
应将它们删除:
&prompt.root; chflags -R 0 var
&prompt.root; rm -R etc var root usr/local tmp
重建到主系统中的可读写符号连接:
&prompt.root; ln -s s/etc etc
&prompt.root; ln -s s/root root
&prompt.root; ln -s s/home home
&prompt.root; ln -s ../s/usr-local usr/local
&prompt.root; ln -s ../s/usr-X11R6 usr/X11R6
&prompt.root; ln -s s/tmp tmp
&prompt.root; ln -s s/var var
现在是时候关闭 jail 了:
&prompt.root; /etc/rc.d/jail stop
卸下原先的文件系统:
&prompt.root; umount /home/j/ns/s
&prompt.root; umount /home/j/ns
&prompt.root; umount /home/j/mail/s
&prompt.root; umount /home/j/mail
&prompt.root; umount /home/j/www/s
&prompt.root; umount /home/j/www
可读写的文件系统
(/s)
会在只读系统之后挂接, 因此应首先卸载。
将先前的只读文件系统挪走, 换成新的系统。
这样做也同时保留了先前系统的备份, 从而可以在出现问题时从中恢复。
这里我们根据新系统的创建时间来命名。 此外我们把先前的
&os; Ports 套件直接移动到新的文件系统中,
以节省磁盘空间和 inode:
&prompt.root; cd /home/j
&prompt.root; mv mroot mroot.20060601
&prompt.root; mv mroot2 mroot
&prompt.root; mv mroot.20060601/usr/ports mroot/usr
现在新的只读模板就可以用了, 剩下的事情是重新挂接文件系统并启动
jails:
&prompt.root; mount -a
&prompt.root; /etc/rc.d/jail start
最后用 &man.jls.8; 检查 jail 启动是否正常。
不要忘记在 jail 中运行 mergemaster。 配置文件和
rc.d 脚本在升级时应进行更新。
diff --git a/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml b/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml
index 5a42fe808d..e1ded3fe92 100644
--- a/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml
@@ -1,4374 +1,4378 @@
Murray
Stokely
Reorganized by
网络服务器
概要
本章将覆盖某些在 &unix; 系统上常用的网络服务。话题将会涉及
如何安装、配置、测试和维护多种不同类型的网络服务。本章节中将提
供大量配置文件的样例,期望能够对您有所裨益。
在读完本章之后,您将会知道:
如何管理 inetd。
如何设置运行一个网络文件系统。
如何配置一个网络信息服务器以共享用户帐号。
如何通过DHCP自动配置网络。
如何配置一个域名服务器。
如何设置Apache HTTP 服务器。
如何设置文件传输(FTP)服务器。
如何使用Samba为 &windows;
客户端设置文件和打印服务。
如何同步时间和日期,以及如何设置使用NTP协议的时间服务器。
在阅读此章节之前,您应当:
理解有关/etc/rc中脚本的基本知识。
熟悉基本网络术语。
懂得如何安装额外的第三方软件()。
Chern
Lee
Contributed by
为 &os; 6.1-RELEASE 进行了更新, 由
The &os; Documentation Project
<application>inetd</application> <quote>超级服务器</quote>
总览
&man.inetd.8; 有时也被称作 Internet
超级服务器
, 因为它可以为多种服务管理连接。
当 inetd 收到连接时,
它能够确定连接所需的程序, 启动相应的进程,
并把 socket 交给它 (服务 socket 会作为程序的标准输入、
输出和错误输出描述符)。 使用
inetd 来运行那些负载不重的服务有助于降低系统负载,
因为它不需要为每个服务都启动独立的服务程序。
一般说来, inetd 主要用于启动其它服务程序,
但它也有能力直接处理某些简单的服务,
例如 chargen、
auth, 以及
daytime。
这一节将介绍关于如何通过命令行选项, 以及配置文件
/etc/inetd.conf 来对
inetd 进行配置的一些基础知识。
设置
inetd 是通过 &man.rc.8; 系统启动的。
inetd_enable 选项默认设为
NO, 但可以在安装系统时,
由用户根据需要通过 sysinstall 来打开。
将:
inetd_enable="YES"
或
inetd_enable="NO"
写入
/etc/rc.conf 可以启用或禁用系统启动时
inetd 的自动启动。 命令:
&prompt.root; /etc/rc.d/inetd rcvar
可以显示目前的设置。
此外, 您还可以通过
inetd_flags 参数来向 inetd
传递额外的其它参数。
命令行选项
与多数服务程序类似, inetd
也提供了为数众多的用以控制其行为的参数。 完整的参数列表如下:
inetd
这些参数都可以通过
/etc/rc.conf 的
inetd_flags 选项来传给 inetd。
默认情况下,
inetd_flags 设为
-wW -C 60, 者表示希望为
inetd 的服务启用 TCP wrapping,
并阻止来自同一 IP 每分钟超过 60 次的请求。
初学的用户可能会很高兴地发现这些选项通常并不需要进行修改,
前面提到的速率限制选项在您的服务器收到过量请求的连接时,
则会有效地发挥作用。 完整的参数列表,
可以在 &man.inetd.8; 联机手册中找到。
-c maximum
指定单个服务的最大并发访问数量,默认为不限。
也可以在此服务的具体配置里面通过改掉。
-C rate
指定单个服务一分钟内能被单个IP地址调用的最大次数,
默认不限。也可以在此服务的具体配置里面通过
改掉。
-R rate
指定单个服务一分钟内能被调用的最大次数,默认为256。
设为0 则允许不限次数调用。
-s maximum
指定同一 IP 同时请求同一服务时允许的最大值; 默认值为不限制。
您可以通过
参数来以服务为单位进行限制。
<filename>inetd.conf</filename>
对于 inetd 的配置,
是通过 /etc/inetd.conf 文件来完成的。
在修改了
/etc/inetd.conf 之后, 可以使用下面的命令来强制
inetd 重新读取配置文件:
重新加载 <application>inetd</application>
配置文件
&prompt.root; /etc/rc.d/inetd reload
配置文件中的每一行都是一个独立的服务程序。 在这个文件中, 前面有
#
的内容被认为是注释。
/etc/inetd.conf 文件的格式如下:
service-name
socket-type
protocol
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]
user[:group][/login-class]
server-program
server-program-arguments
下面是针对 IPv4 的 &man.ftpd.8; 服务的例子:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
service-name
指明各个服务的服务名。其服务名必须与/etc/services中列出的一致。
这将决定inetd会监听哪个port。
一旦有新的服务需要添加,必须先在/etc/services里面添加。
socket-type
可以是stream、dgram、raw或者
seqpacket。 stream
用于基于连接的 TCP 服务;而 dgram 则用于使用 UDP 协议的服务。
protocol
下列之一:
协议
说明
tcp, tcp4
TCP IPv4
udp, udp4
UDP IPv4
tcp6
TCP IPv6
udp6
UDP IPv6
tcp46
Both TCP IPv4 and v6
udp46
Both UDP IPv4 and v6
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]
指明从inetd
里头调用的服务是否可以自己处理socket.
socket类型必须使用,
而stream socket daemons, 由于通常使用多线程方式,应当使用
. 通常把多个
socket 丢给单个服务进程, 而 则
会为每个新的 socket 生成一个子进程。
选项能够配置
inetd 能为本服务派生出的最大子进程数量。
如果某特定服务需要限定最高10个实例, 把/10
放到后头就可以了。 指定 /0
表示不限制子进程的数量。
除了 之外,
还有两个选项可以限制来自同一位置到特定服务的最大连接数。
可以限制特定 IP
地址每分钟的总连接数, 例如, 限制任何
IP 地址每分钟最多连接十次。
则可以限制为某一 IP 地址在任何时候所启动的子进程数量。
这些选项对于防止针对服务器有意或无意的资源耗竭和拒绝服务 (DoS)
攻击十分有用。
这个字段中, 必须指定 或
两者之一。 而
、
和
则是可选项。
流式多线程服务, 并且不配置任何
、
或
限制时,
其配置为: nowait。
同一个服务, 但希望将服务启动的数量限制为十个时,
则是: nowait/10。
同样配置, 限制每个 IP 地址每分钟最多连接二十次,
而同时启动的子进程最多十个, 应写作:
nowait/10/20。
下面是 &man.fingerd.8; 服务的默认配置:
finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s
最后这个例子中, 将子进程数限制为
100 个, 而任意 IP 最多同时建立 5 个连接:
nowait/100/0/5。
user
该开关指定服务将以什么用户身份运行。一般而言,服务运行身份是
root。基于安全目的,可以看到有些服务以
daemon身份,或者是最小特权的
nobody身份运行。
server-program
当连接到来时,执行服务程序的全路径。如果服务是由
inetd内置提供的,以代替。
server-program-arguments
当调用到时,该开关
的值通过argv[0]通过传递给服务而工作。
如果命令行为:mydaemon -d,则
mydaemon -d为
开关的值。同样的,如果服务是由inetd
内置提供的,这里还是
。
Security
随安装时所选的模式不同,
许多 inetd 的服务可能已经默认启用。
如果确实不需要某个特定的服务, 则应考虑禁用它。
在 /etc/inetd.conf 中,
将对应服务的那行前面加上 #
,
然后 重新加载
inetd 配置 就可以了。 某些服务, 例如
fingerd, 可能是完全不需要的,
因为它们提供的信息可能对攻击者有用。
某些服务在设计时是缺少安全意识的, 或者有过长或压根没有连接请求的超时机制。
这使得攻击者能够通过缓慢地对这些服务发起连接, 并耗尽可用的资源。
对于这种情况, 设置 、
或 限制,
来制约服务的行为是个好办法。
默认情况下,TCP wrapping 是打开的。参考
&man.hosts.access.5; 手册,以获得更多关于在各种 inetd
调用的服务上设置TCP限制的信息。
杂项
daytime、
time、
echo、
discard、
chargen, 以及
auth 都是由 inetd
提供的内建服务。
auth 服务提供了网络身份服务,
它可以配置为提供不同级别的服务, 而其它服务则通常只能简单的打开或关闭。
参考 &man.inetd.8; 手册获得更多信息。
Tom
Rhodes
Reorganized and enhanced by
Bill
Swingle
Written by
网络文件系统(NFS)
NFS
网络文件系统是FreeBSD支持的文件系统中的一种,
也被称为 NFS。 NFS允许一个系统在网络上与它人共享目录和文件。通过使用NFS,用户和程序可以象访问本地文件
一样访问远端系统上的文件。
以下是NFS最显而易见的好处:
本地工作站使用更少的磁盘空间,因为通常的数据可以存放在一
台机器上而且可以通过网络访问到。
用户不必在每个网络上机器里头都有一个home目录。Home目录
可以被放在NFS服务器上并且在网络上处处可用。
诸如软驱,CDROM,和 &iomegazip; 之类的存储设备可以在网络上面被别的机器使用。
这可以减少整个网络上的可移动介质设备的数量。
<acronym>NFS</acronym>是如何工作的
NFS 至少包括两个主要的部分: 一台服务器,
以及至少一台客户机, 客户机远程地访问保存在服务器上的数据。
要让这一切运转起来, 需要配置并运行几个程序。
服务器必须运行以下服务:
NFS
server (服务)
文件服务器
UNIX 客户机
rpcbind
mountd
nfsd
服务
描述
nfsd
NFS,为来自NFS客户端的
请求服务。
mountd
NFS挂载服务,处理&man.nfsd.8;递交过来的请求。
rpcbind
此服务允许
NFS 客户程序查询正在被 NFS 服务使用的端口。
客户端同样运行一些进程,比如
nfsiod。
nfsiod处理来自NFS的请求。
这是可选的,而且可以提高性能,对于普通和正确的操作来说并不是必须的。
参考&man.nfsiod.8;手册获得更多信息。
配置<acronym>NFS</acronym>
NFS
configuration
NFS的配置过程相对简单。这个过程只需要
对/etc/rc.conf文件作一些简单修改。
在NFS服务器这端,确认/etc/rc.conf
文件里头以下开关都配上了:
rpcbind_enable="YES"
nfs_server_enable="YES"
mountd_flags="-r"
只要NFS服务被置为enable,mountd
就能自动运行。
在客户端一侧,确认下面这个开关出现在
/etc/rc.conf里头:
nfs_client_enable="YES"
/etc/exports文件指定了哪个文件系统
NFS应该输出(有时被称为共享
)。
/etc/exports里面每行指定一个输出的文件系统和
哪些机器可以访问该文件系统。在指定机器访问权限的同时,访问选项
开关也可以被指定。有很多开关可以被用在这个文件里头,不过不会在这
里详细谈。您可以通过阅读&man.exports.5; 手册来发现这些开关。
以下是一些/etc/exports的例子:
NFS
export examples
下面是一个输出文件系统的例子, 不过这种配置与您所处的网络环境及其配置密切相关。
例如, 如果要把 /cdrom 输出给与服务器域名相同的三台计算机
(因此例子中只有机器名, 而没有给出这些计算机的域名), 或在
/etc/hosts 文件中进行了这种配置。
标志表示把输出的文件系统置为只读。 由于使用了这个标志,
远程系统在输出的文件系统上就不能写入任何变动了。
/cdrom -ro host1 host2 host3
下面的例子可以输出/home给三个以IP地址方式表示的主机。
对于在没有配置DNS服务器的私有网络里头,这很有用。
此外, /etc/hosts 文件也可以用以配置主机名;参看 &man.hosts.5; 。
标记允许子目录被作为挂载点。
也就是说,客户端可以根据需要挂载需要的目录。
/home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4
下面几行输出 /a ,以便两个来自不同域的客户端可以访问文件系统。
标记授权远端系统上的
root 用户在被输出的文件系统上以root身份进行读写。
如果没有特别指定 -maproot=root 标记,
则即使用户在远端系统上是 root 身份,
也不能修改被输出文件系统上的文件。
/a -maproot=root host.example.com box.example.org
为了能够访问到被输出的文件系统,客户端必须被授权。
请确认客户端在您的 /etc/exports 被列出。
在 /etc/exports 里头,每一行里面,输出信息和文件系统一一对应。
一个远程主机每次只能对应一个文件系统。而且只能有一个默认入口。比如,假设
/usr 是独立的文件系统。这个 /etc/exports 就是无效的:
# Invalid when /usr is one file system
/usr/src client
/usr/ports client
一个文件系统,/usr, 有两行指定输出到同一主机,
client.
解决这一问题的正确的格式是:
/usr/src /usr/ports client
在同一文件系统中, 输出到指定客户机的所有目录, 都必须写到同一行上。
没有指定客户机的行会被认为是单一主机。 这限制了你可以怎样输出的文件系统,
但对绝大多数人来说这不是问题。
下面是一个有效输出列表的例子,
/usr 和 /exports
是本地文件系统:
# Export src and ports to client01 and client02, but only
# client01 has root privileges on it
/usr/src /usr/ports -maproot=root client01
/usr/src /usr/ports client02
# The client machines have root and can mount anywhere
# on /exports. Anyone in the world can mount /exports/obj read-only
/exports -alldirs -maproot=root client01 client02
/exports/obj -ro
在修改了 /etc/exports 文件之后,
就必须让 mountd 服务重新检查它,
以便使修改生效。 一种方法是通过给正在运行的服务程序发送 HUP
信号来完成:
&prompt.root; kill -HUP `cat /var/run/mountd.pid`
或指定适当的参数来运行 mountd &man.rc.8; 脚本:
&prompt.root; /etc/rc.d/mountd onereload
关于使用 rc 脚本的细节, 请参见 。
另外, 系统重启动可以让 FreeBSD 把一切都弄好。 尽管如此,
重启不是必须的。 以 root 身份执行下面的命令可以搞定一切。
在 NFS 服务器端:
&prompt.root; rpcbind
&prompt.root; nfsd -u -t -n 4
&prompt.root; mountd -r
在 NFS 客户端:
&prompt.root; nfsiod -n 4
现在每件事情都应该就绪,以备挂载一个远端文件系统。 在这些例子里头,
服务器名字将是:server ,而客户端的名字将是: client。
如果您只打算临时挂载一个远端文件系统或者只是打算作测试配置正确与否,
只要在客户端以 root 身份执行下面的命令:
NFS
mounting
&prompt.root; mount server:/home /mnt
这条命令会把服务端的 /home 目录挂载到客户端的 /mnt 上。
如果配置正确,您应该可以进入客户端的 /mnt 目录并且看到所有服务端的文件。
如果您打算让系统每次在重启动的时候都自动挂载远端的文件系统,把那个文件系统加到
/etc/fstab 文件里头去。下面是例子:
server:/home /mnt nfs rw 0 0
&man.fstab.5; 手册里有所有可用的开关。
锁
某些应用程序 (例如 mutt)
需要文件上锁支持才能正常运行。 在使用
NFS 时, 可以用 rpc.lockd
来支持文件上锁功能。 要启用它,
需要在服务器和客户机的 /etc/rc.conf 中加入
(假定两端均已配好了 NFS):
rpc_lockd_enable="YES"
rpc_statd_enable="YES"
然后使用下述命令启动该程序:
&prompt.root; /etc/rc.d/nfslocking start
如果并不需要真的在 NFS 客户机和
NFS 服务器间确保上锁的语义,
可以让 NFS 客户机在本地上锁,
方法是使用 &man.mount.nfs.8; 时指定 参数。
请参见 &man.mount.nfs.8; 联机手册以了解更多细节。
实际应用
NFS 有很多实际应用。下面是比较常见的一些:
NFS
uses
多个机器共享一台CDROM或者其他设备。这对于在多台机器中安装软件来说更加便宜跟方便。
在大型网络中,配置一台中心 NFS 服务器用来放置所有用户的home目录可能会带来便利。
这些目录能被输出到网络以便用户不管在哪台工作站上登录,总能得到相同的home目录。
几台机器可以有通用的/usr/ports/distfiles 目录。
这样的话,当您需要在几台机器上安装port时,您可以无需在每台设备上下载而快速访问源码。
Wylie
Stilwell
Contributed by
Chern
Lee
Rewritten by
通过 <application>amd</application> 自动地挂接
amd
自动挂接服务
&man.amd.8; (自动挂接服务) 能够自动地在访问时挂接远程的文件系统。
如果文件系统在一段时间之内没有活动, 则会被
amd 自动卸下。 通过使用
amd, 能够提供一个持久挂接以外的选择,
而后者往往需要列入
/etc/fstab。
amd 通过将自己以 NFS 服务器的形式,
附加到 /host 和
/net 目录上来工作。
当访问这些目录中的文件时, amd
将查找相应的远程挂接点, 并自动地挂接。
/net 用于挂接远程 IP 地址上导出的文件系统,
而 /host 则用于挂接远程主机名上的文件系统。
访问
/host/foobar/usr 中的文件, 相当于告诉
amd 尝试挂接在主机
foobar 上导出的
/usr。
通过 <application>amd</application> 来挂接导出的文件系统
您可以通过使用 showmount
命令来查看远程主机上导出的文件系统。 例如,
要查看 foobar 上导出的文件系统, 可以用:
&prompt.user; showmount -e foobar
Exports list on foobar:
/usr 10.10.10.0
/a 10.10.10.0
&prompt.user; cd /host/foobar/usr
如同在前面例子中所看到的, showmount 显示了导出的
/usr。 当进入
/host/foobar/usr 这个目录时, amd
将尝试解析主机名 foobar
并自动地挂接需要的文件系统导出。
amd 可以通过启动脚本来启动, 方法是在
/etc/rc.conf 中加入:
amd_enable="YES"
除此之外, 还可以给
amd 通过
amd_flags 选项来传递额外的参数。 默认情况下,
amd_flags 为:
amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map"
/etc/amd.map
文件定义了挂接导出文件系统时所使用的默认选项。
/etc/amd.conf 文件, 则定义了更多关于
amd 的高级功能选项。
请参考 &man.amd.8; 和 &man.amd.conf.5; 联机手册,
以了解进一步的情况。
John
Lind
Contributed by
与其他系统集成时的常见问题
某些特定的 ISA PC 系统上的以太网适配器上有一些限制,
这些限制可能会导致严重的网络问题, 特别是与 NFS 配合使用时。
这些问题并非 FreeBSD 所特有的, 但 FreeBSD 系统会受到这些问题的影响。
这样的问题, 几乎总是在当 (FreeBSD) PC 系统与高性能的工作站,
例如 Silicon Graphics, Inc., 和 Sun Microsystems, Inc. 的工作站联网时发生。
NFS 挂接能够正常工作, 而且一些操作也可能成功,
但服务器会很快变得对客户机不太理会,
虽然对其他客户机的请求仍然能够正常处理。
这种情况通常发生在客户端, 无论它是一个 FreeBSD 系统或是终端。
在许多系统上, 一旦发生了这样的问题, 通常没办法正常地关闭客户机。
唯一的办法通常是让终端复位, 因为这一 NFS 状况没有办法被解决。
尽管 正确的
解决办法, 是为
FreeBSD 系统配备一块高性能的、 适用的以太网适配器,
然而也有办法绕过问题并得到相对满意的结果。
如果 FreeBSD 系统是
服务器, 则在客户机挂接时, 应该指定
。 如果
FreeBSD 系统是 客户机,
则应加入 参数。 这些选项可以通过在对应的
fstab 的第四个字段加入,
以便让客户机能够自动地挂接, 或者通过 &man.mount.8; 的
参数在手工挂接时指定。
还需要注意的是另一个问题, 有时会被误认为是和上面一样的问题。
这个问题多见于 NFS 服务器和客户机在不同的网络上时。 如果是这种情况, 一定要
确定 您的路由器确实把必需的 UDP
信息路由到了目的地, 否则您将什么也做不了。
下面的例子中, fastws 是主机
(接口) 的名字, 它是一台高性能的终端, 而
freebox 是另一台主机 (接口) 的名字,
它是一个使用较低性能的以太网适配器的 FreeBSD 系统。 同时,
/sharedfs 将被导出成为 NFS
文件系统 (参见 &man.exports.5;), 而
/project
将是客户机上挂接这一导出文件系统的挂接点。 所有的应用场景中,
请注意附加选项, 例如 或
以及 可能是您的应用所需要的。
关于 FreeBSD 系统 (freebox)
作为客户机的示范 /etc/fstab 文件, 见于
freebox 之上:
fastws:/sharedfs /project nfs rw,-r=1024 0 0
在 freebox 上手工挂接:
&prompt.root; mount -t nfs -o -r=1024 fastws:/sharedfs /project
以 FreeBSD 系统作为服务器的例子, 是 fastws 上的
/etc/fstab:
freebox:/sharedfs /project nfs rw,-w=1024 0 0
在 fastws 上手工挂接的命令是:
&prompt.root; mount -t nfs -o -w=1024 freebox:/sharedfs /project
几乎所有的 16-位 以太网控制器,
都能够在没有上述读写尺寸限制的情况下正常工作。
对于那些关心到底是什么问题的人, 下面是失败如何发生的解释,
同时这也说明了为什么这是一个无法恢复的问题。 典型情况下,
NFS 会使用一个 块
为单位进行操作, 其尺寸是
8 K (虽然它可能会将操作分成更小尺寸的分片)。
由于最大的以太网包尺寸大约是 1500 字节,
因此 NFS 块
会分成多个以太网包,
虽然在更高层的代码看来它仍然是一个完整的单元,
并在接收方重新组装, 作为一个整体来
确认。 高性能的工作站,
可以将构成 NFS 单元的包迅速发出, 其节奏会快到标准允许的最大限度。
在容量较小的卡上, 后来的包会冲掉同一单元内的较早的包,
因而整个单元无法被重建或确认。 其结果是,
工作站将超时并重试, 但仍然是完整的 8 K 单元,
这一过程将无休止地重复下去。
如果将单元尺寸限制在以太网包尺寸之下,
我们就能够确保每一个以太网包都能够被独立地接收和确认,
从而避免了上面的死锁情形。
溢出在高性能工作站将数据库投向 PC 系统时仍会发生,
但在更好的网卡上, 能够保证这类溢出不会在每一个 NFS
单元
上都发生。 当出现溢出时,
被影响的单元被重传, 因而此时有很大的机会它将被正确接收、
重组, 并确认。
Bill
Swingle
Written by
Eric
Ogren
Enhanced by
Udo
Erdelhoff
网络信息服务 (NIS/YP)
它是什么?
NIS
Solaris
HP-UX
AIX
Linux
NetBSD
OpenBSD
NIS,
表示网络信息服务 (Network Information Services),
最初由 Sun Microsystems 开发, 用于 &unix;
(最初是 &sunos;) 系统的集中管理。 目前,
它基本上已经成为了业界标准; 所有主流的类 &unix; 系统
(&solaris;, HP-UX, &aix;, Linux, NetBSD, OpenBSD, FreeBSD,
等等) 都支持 NIS。
黄页 (yellow pages)NIS
NIS
也就是人们所熟知的黄页(Yellow Pages), 但由于商标的问题,
Sun 将其改名为现在的名字。 旧的术语 (以及 yp),
仍然经常可以看到, 并被广泛使用。
NIS
域
这是一个基于 RPC 的客户机/服务器系统,
它允许在一个 NIS 域中的一组机器共享一系列配置文件。
这样, 系统管理员就可以配置只包含最基本配置数据的 NIS 客户机系统,
并在单点上增加、 删除或修改配置数据。
Windows NT
尽管实现的内部细节截然不同, 这和 &windowsnt; 域系统非常类似,
以至于可以将两者的基本功能相互类比。
您应该知道的术语和进程
有一系列术语和重要的用户进程将在您在 FreeBSD
上实现 NIS 时用到, 无论是在创建
NIS 服务器, 或作为 NIS 客户机:
rpcbind
portmap
术语
说明
NIS 域名
NIS 主服务器和所有其客户机
(包括从服务器) 会使用同一 NIS 域名。
和 &windowsnt; 域名类似, NIS 域名与
DNS 无关。
rpcbind
必须运行这个程序, 才能够启用
RPC (远程过程调用, NIS
用到的一种网络协议)。 如果没有运行
rpcbind,
则没有办法运行 NIS 服务器,
或作为 NIS 客户机。
ypbind
绑定(bind)
NIS 客户机到它的 NIS
服务器上。 这样, 它将从系统中获取 NIS 域名,
并使用 RPC 连接到服务器上。
ypbind 是 NIS 环境中,
客户机-服务器通讯的核心; 如果客户机上的
ypbind 死掉的话, 它将无法访问
NIS 服务器。
ypserv
只应在 NIS 服务器上运行它; 这是 NIS 的服务器进程。
如果 &man.ypserv.8; 死掉的话,
则服务器将不再具有响应 NIS 请求的能力 (此时,
如果有从服务器的话, 则会接管操作)。 有一些 NIS
的实现 (但不是 FreeBSD 的这个) 的客户机上,
如果之前用过一个服务器, 而那台服务器死掉的话,
并不尝试重新连接到另一个服务器。 通常,
发生这种情况时, 唯一的办法就是重新启动服务器进程
(或者, 甚至重新启动服务器) 或客户机上的
ypbind 进程。
rpc.yppasswdd
另一个只应在
NIS 主服务器上运行的进程; 这是一个服务程序,
其作用是允许 NIS 客户机改变它们的 NIS 口令。
如果没有运行这个服务, 用户将必须登录到 NIS
主服务器上, 并在那里修改口令。
它是如何工作的?
在 NIS 环境中, 有三种类型的主机:
主服务器, 从服务器, 以及客户机。
服务器的作用是充当主机配置信息的中央数据库。
主服务器上保存着这些信息的权威副本,
而从服务器则是保存这些信息的冗余副本。
客户机依赖于服务器向它们提供这些信息。
许多文件的信息可以通过这种方式来共享。
通常情况下, master.passwd、
group, 以及 hosts
是通过 NIS 分发的。 无论什么时候,
如果客户机上的某个进程请求这些本应在本地的文件中的资料的时候,
它都会向所绑定的 NIS 服务器发出请求, 而不使用本地的版本。
机器类型
NIS
主服务器
一台 NIS 主服务器。
这台服务器, 和 &windowsnt; 域控制器类似,
会维护所有 NIS 客户机所使用的文件。 passwd,
group, 以及许多其他 NIS
客户机所使用的文件, 都被存放到主服务器上。
可以将一台 NIS 主服务器用在多个 NIS 域中。
然而, 本书不打算对这种配置进行介绍,
因为这种配置, 通常只出现在小规模的 NIS 环境中。
NIS
从服务器
NIS 从服务器。 这一概念,
与 &windowsnt; 的备份域控制器类似。 NIS 从服务器,
用于维护 NIS 主服务器的数据文件副本。
NIS 从服务器提供了一种冗余,
这在许多重要的环境中是必需的。 此外,
它也帮助减轻了主服务器的负荷: NIS
客户机总是挂接到最先响应它们的 NIS 服务器上,
而这也包括来自从服务器的响应。
NIS
客户机
NIS 客户机。 NIS 客户机,
和多数 &windowsnt; 工作站类似, 通过
NIS 服务器 (或对于 &windowsnt; 工作站, 则是
&windowsnt; 域控制器) 来完成登录时的身份验证过程。
使用 NIS/YP
这一节将通过实例介绍如何配置 NIS 环境。
规划
假定您正在管理大学中的一个小型实验室。 在这个实验室中,
有 15 台 FreeBSD 机器, 目前尚没有集中的管理点;
每一台机器上有自己的
/etc/passwd 和
/etc/master.passwd。
这些文件通过人工干预的方法来保持与其他机器上版本的同步;
目前, 如果您在实验室中增加一个用户, 将不得不在所有 15
台机器上手工执行 adduser 命令。
毋庸置疑, 这一现状必须改变,
因此您决定将整个实验室转为使用 NIS,
并使用两台机器作为服务器。
因此, 实验室的配置应该是这样的:
机器名
IP 地址
机器的角色
ellington
10.0.0.2
NIS 主服务器
coltrane
10.0.0.3
NIS 从服务器
basie
10.0.0.4
教员工作站
bird
10.0.0.5
客户机
cli[1-11]
10.0.0.[6-17]
其他客户机
如果您是首次配置 NIS, 仔细思考如何进行规划就十分重要。
无论您的网络的大小如何, 都必须进行几个决策。
选择 NIS 域名
NIS
域名
这可能不是您过去使用的 域名(domainname)
。
它的规范的叫法, 应该是
NIS 域名
。 当客户机广播对此信息的请求时,
它会将 NIS 域的名字作为请求的一部分发出。 这样,
统一网络上的多个服务器, 就能够知道谁应该回应请求。
您可以把 NIS 域名想象成以某种方式相关的一组主机的名字。
一些机构会选择使用它们的 Internet
域名来作为 NIS 域名。 并不推荐这样做, 因为在调试网络问题时,
这可能会导致不必要的困扰。 NIS 域名应该是在您网络上唯一的,
并且有助于了解它所描述的到底是哪一组机器。 例如对于 Acme
公司的美工部门, 可以考虑使用
acme-art
这样的 NIS 域名。
在这个例子中, 您使用的域名是
test-domain。
SunOS
然而, 某些操作系统 (最著名的是 &sunos;)
会使用其 NIS 域名作为 Internet 域名。
如果您的网络上存在包含这类限制的机器, 就
必须 使用 Internet 域名来作为您的 NIS 域名。
服务器的物理要求
选择 NIS 服务器时, 需要时刻牢记一些东西。
NIS 的一个不太好的特性就是其客户机对于服务器的依赖程度。
如果客户机无法与其 NIS 域的服务器联系,
则这台机器通常会陷于不可用的状态。 缺少用户和组信息,
会使绝大多数系统进入短暂的冻结状态。 基于这样的考虑,
您需要选择一台不经常重新启动, 或用于开发的机器来承担其责任。
如果您的网络不太忙, 也可以使用运行着其他服务的机器来安放 NIS
服务, 只是需要注意, 一旦 NIS 服务器不可用, 则
所有 的 NIS 客户机都会受到影响。
NIS 服务器
所有的 NIS 信息的正规版本,
都被保存在一台单独的称作 NIS 主服务器的机器上。
用于保存这些信息的数据库, 称为 NIS 映射(map)。
在 FreeBSD 中, 这些映射被保存在
/var/yp/[domainname] 里, 其中
[domainname] 是提供服务的 NIS
域的名字。 一台 NIS 服务器, 可以同时支持多个域,
因此可以建立很多这样的目录, 所支撑一个域对应一个。
每一个域都会有一组独立的映射。
NIS 主和从服务器, 通过 ypserv
服务程序来处理所有的 NIS 请求。
ypserv 有责任接收来自 NIS 客户机的请求,
翻译请求的域, 并将名字映射为相关的数据库文件的路径,
然后将来自数据库的数据传回客户机。
配置 NIS 主服务器
NIS
服务器配置
配置主 NIS 服务器相对而言十分的简单,
而其具体步骤则取决于您的需要。 FreeBSD
提供了一步到位的 NIS 支持。 您需要做的全部事情, 只是在
/etc/rc.conf 中加入一些配置,
其他工作会由 FreeBSD 完成。
nisdomainname="test-domain"
这一行将在网络启动 (例如重新启动) 时, 把 NIS 域名配置为
test-domain。
nis_server_enable="YES"
这将要求 FreeBSD 在网络子系统启动之后立即启动
NIS 服务进程。
nis_yppasswdd_enable="YES"
这将启用 rpc.yppasswdd
服务程序, 如前面提到的,
它允许用户在客户机上修改自己的 NIS 口令。
随 NIS 配置的不同, 可能还需要增加其他一些项目。 请参见 关于 NIS 服务器同时充当 NIS
客户机 这一节, 以了解进一步的情况。
现在, 所需要做的最后的工作是以超级用户身份执行
/etc/netstart 命令。 这将依据
/etc/rc.conf
为您配置好所有的东西。
初始化 NIS 映射
NIS
映射
NIS 映射 是一些数据库文件,
它们位于 /var/yp 目录中。
这些文件基本上都是根据 NIS 主服务器的 /etc
目录自动生成的, 唯一的例外是:
/etc/master.passwd 文件。 一般来说,
您会有非常充分的理由不将 root
以及其他管理帐号的口令发到所有 NIS 域上的服务器上。
因此, 在开始初始化 NIS 映射之前, 我们应该:
&prompt.root; cp /etc/master.passwd /var/yp/master.passwd
&prompt.root; cd /var/yp
&prompt.root; vi master.passwd
这里, 删除掉和系统有关的帐号对应的项 (bin、
tty、 kmem、
games, 等等),
以及其他不希望被扩散到 NIS 客户机的帐号
(例如 root 和任何其他 UID 0
(超级用户) 的帐号)。
确认
/var/yp/master.passwd 这个文件是同组用户,
以及其他用户不可读的 (模式 600)! 如果需要的话, 用
chmod 命令来改它。
Tru64 UNIX
完成这些工作之后, 就可以初始化
NIS 映射了! FreeBSD 提供了一个名为
ypinit 的脚本来帮助您完成这项工作 (详细信息,
请见其联机手册)。 请注意, 这个脚本在绝大多数 &unix;
操作系统上都可以找到, 但并不是所有操作系统的都提供。
在 Digital UNIX/Compaq Tru64 UNIX 上它的名字是
ypsetup。 由于我们正在生成的是 NIS
主服务器的映射, 因此应该使用 ypinit 的
参数。 如果已经完成了上述步骤,
要生成 NIS 映射, 只需执行:
ellington&prompt.root; ypinit -m test-domain
Server Type: MASTER Domain: test-domain
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] n
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
At this point, we have to construct a list of this domains YP servers.
rod.darktech.org is already known as master server.
Please continue to add any slave servers, one per line. When you are
done with the list, type a <control D>.
master server : ellington
next host to add: coltrane
next host to add: ^D
The current list of NIS servers looks like this:
ellington
coltrane
Is this correct? [y/n: y] y
[..output from map generation..]
NIS Map update completed.
ellington has been setup as an YP master server without any errors.
ypinit 应该会根据
/var/yp/Makefile.dist 来创建
/var/yp/Makefile 文件。
创建完之后, 这个文件会假定您正在操作只有 FreeBSD
机器的单服务器 NIS 环境。 由于 test-domain
还有一个从服务器, 您必须编辑
/var/yp/Makefile:
ellington&prompt.root; vi /var/yp/Makefile
应该能够看到这样一行, 其内容是
NOPUSH = "True"
(如果还没有注释掉的话)。
配置 NIS 从服务器
NIS
从服务器
配置 NIS 从服务器, 甚至比配置主服务器还要简单。
登录到从服务器上, 并按照前面的方法,
编辑 /etc/rc.conf 文件。 唯一的区别是,
在运行 ypinit 时需要使用
参数。
这里的 选项, 同时要求提供 NIS
主服务器的名字, 因此我们的命令行应该是:
coltrane&prompt.root; ypinit -s ellington test-domain
Server Type: SLAVE Domain: test-domain Master: ellington
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] n
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
There will be no further questions. The remainder of the procedure
should take a few minutes, to copy the databases from ellington.
Transferring netgroup...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byuser...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byhost...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring group.bygid...
ypxfr: Exiting: Map successfully transferred
Transferring group.byname...
ypxfr: Exiting: Map successfully transferred
Transferring services.byname...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.byname...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.byname...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring netid.byname...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring ypservers...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byname...
ypxfr: Exiting: Map successfully transferred
coltrane has been setup as an YP slave server without any errors.
Don't forget to update map ypservers on ellington.
现在应该会有一个叫做
/var/yp/test-domain 的目录。
在这个目录中, 应该保存 NIS 主服务器上的映射的副本。
接下来需要确定这些文件都及时地同步更新了。 在从服务器上, 下面的
/etc/crontab 项将帮助您确保这一点:
20 * * * * root /usr/libexec/ypxfr passwd.byname
21 * * * * root /usr/libexec/ypxfr passwd.byuid
这两行将强制从服务器将映射与主服务器同步。
由于主服务器会尝试确保所有其 NIS 映射的变动都知会从服务器,
因此这些项并不是绝对必需的, 尽管如此,
强制更新能够保证这些对依赖于服务器的系统至关重要的口令信息及时地同步。
同时, 在繁忙的网络上, 有时也会出现映射同步更新不完全的情况。
现在, 在从服务器上执行 /etc/netstart,
就可以启动 NIS 服务了。
NIS 客户机
NIS 客户机会通过
ypbind 服务程序来与特定的 NIS
服务器建立一种称作绑定的联系。
ypbind 会检查系统的默认域
(这是通过 domainname 命令来设置的),
并开始在本地网络上广播 RPC 请求。 这些请求会指定
ypbind 尝试绑定的域名。
如果已经配置了服务器, 并且这些服务器接到了广播, 它将回应
ypbind, 后者则记录服务器的地址。
如果有多个可用的服务器 (例如一个主服务器, 加上多个从服务器),
ypbind 将使用第一个响应的地址。
从这一时刻开始, 客户机会把所有的 NIS 请求直接发给那个服务器。
ypbind 偶尔会 ping
服务器以确认其仍然在正常运行。 如果在合理的时间内没有得到响应, 则
ypbind 会把域标记为未绑定, 并再次发起广播,
以期找到另一台服务器。
设置 NIS 客户机
NIS
客户机配置
配置一台 FreeBSD 机器作为 NIS 客户机是非常简单的。
编辑 /etc/rc.conf 文件,
并在其中加上下面几行, 以设置 NIS 域名,
并在网络启动时启动 ypbind:
nisdomainname="test-domain"
nis_client_enable="YES"
要从 NIS 服务器导入所有的口令项,
需要从您的
/etc/master.passwd 文件中删除所有用户,
并使用
vipw 在这个文件的最后一行加入:
+:::::::::
这一行将让 NFS 服务器的口令映射中的帐号能够登录。
也有很多修改这一行来配置 NIS 客户机的办法。
请参见稍后的 netgroups
小节 以了解进一步的情况。
要了解更多信息, 可以参阅 O'Reilly 的
Managing NFS and NIS 这本书。
需要至少保留一个本地帐号 (也就是不通过 NIS 导入) 在您的
/etc/master.passwd 文件中,
而这个帐号应该是
wheel 组的成员。 如果 NIS 发生不测,
这个帐号可以用来远程登录,
成为 root, 并修正问题。
要从 NIS 服务器上导入组信息, 需要在
/etc/group 文件末尾加入:
+:*::
完成这些步骤之后, 就应该可以通过运行
ypcat passwd 来看到 NIS 服务器的口令映射了。
NIS 的安全性
基本上, 任何远程用户都可以发起一个 RPC 到
&man.ypserv.8; 并获得您的 NIS 映射的内容,
如果远程用户了解您的域名的话。
要避免这类未经授权的访问, &man.ypserv.8;
支持一个称为 securenets
的特性,
用以将访问限制在一组特定的机器上。 在启动过程中,
&man.ypserv.8; 会尝试从
/var/yp/securenets
中加载 securenet 信息。
这个路径随
参数改变。 这个文件包含了一些项,
每一项中包含了一个网络标识和子网掩码, 中间用空格分开。
以 #
开头的行会被认为是注释。
示范的 securenets 文件如下所示:
# allow connections from local host -- mandatory
127.0.0.1 255.255.255.255
# allow connections from any host
# on the 192.168.128.0 network
192.168.128.0 255.255.255.0
# allow connections from any host
# between 10.0.0.0 to 10.0.15.255
# this includes the machines in the testlab
10.0.0.0 255.255.240.0
如果 &man.ypserv.8; 接到了来自匹配上述任一规则的地址的请求,
则它会正常处理请求。 反之, 则请求将被忽略, 并记录一条警告信息。 如果
/var/yp/securenets 文件不存在, 则
ypserv 会允许来自任意主机的请求。
ypserv 程序也支持
Wietse Venema 的 TCP Wrapper 软件包。
这样, 管理员就能够使用
TCP Wrapper 的配置文件来代替
/var/yp/securenets 完成访问控制。
尽管这两种访问控制机制都能够提供某种程度的安全,
但是, 和特权端口检查一样,
它们无法避免 IP 伪造
攻击。 您的防火墙应该阻止所有与
NIS 有关的访问。
使用 /var/yp/securenets 的服务器,
可能会无法为某些使用陈旧的 TCP/IP 实现的 NIS 客户机服务。
这些实现可能会在广播时, 将主机位都设置为 0,
或在计算广播地址时忽略子网掩码。
尽管这些问题可以通过修改客户机的配置来解决,
其他一些问题也可能导致不得不淘汰那些客户机系统,
或者不使用 /var/yp/securenets。
在使用陈旧的 TCP/IP 实现的系统上,
使用 /var/yp/securenets 是一个非常糟糕的做法,
因为这将导致您的网络上的 NIS 丧失大部分功能。
TCP Wrappers
使用 TCP Wrapper
软件包, 会导致您的 NIS 服务器的响应延迟增加。
而增加的延迟, 则可能会导致客户端程序超时,
特别是在繁忙的网络或者很慢的
NIS 服务器上。 如果您的某个客户机因此而产生一些异常,
则应将这些客户机变为 NIS 从服务器,
并强制其绑定自己。
不允许某些用户登录
在我们的实验室中, basie 这台机器,
是一台教员专用的工作站。 我们不希望将这台机器拿出 NIS 域,
而主 NIS 服务器上的 passwd 文件,
则同时包含了教员和学生的帐号。 这时应该怎么做?
有一种办法来禁止特定的用户登录机器, 即使他们身处 NIS 数据库之中。
要完成这一工作, 只需要在客户机的 /etc/master.passwd
文件中加入一些
-username 这样的项,
其中, username 是希望禁止登录的用户名。
一般推荐使用 vipw 来完成这个工作,
因为 vipw 会对您在 /etc/master.passwd
文件上所作的修改进行合法性检查,
并在编辑结束时重新构建口令数据库。 例如, 如果希望禁止用户
bill 登录
basie, 我们应该:
basie&prompt.root; vipw
[在末尾加入 -bill, 并退出]
vipw: rebuilding the database...
vipw: done
basie&prompt.root; cat /etc/master.passwd
root:[password]:0:0::0:0:The super-user:/root:/bin/csh
toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin
news:*:8:8::0:0:News Subsystem:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin
uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico
xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin
pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
+:::::::::
-bill
basie&prompt.root;
Udo
Erdelhoff
Contributed by
使用 Netgroups
netgroups
前一节介绍的方法,
在您需要为非常少的用户和/或机器进行特殊的规则配置时还算凑合。
在更大的网络上, 您
一定会 忘记禁止某些用户登录到敏感的机器上,
或者, 甚至必须单独地修改每一台机器的配置, 因而丢掉了 NIS 最重要的优越性:
集中式 管理。
NIS 开发人员为这个问题提供的解决方案, 被称作
netgroups。 它们的作用和语义,
基本上可以等同于 &unix; 文件系统上使用的组。
主要的区别是它们没有数字化的 ID, 以及可以在 netgroup
中同时包含用户和其他 netgroup。
Netgroups 被设计用来处理大的、 复杂的包含数百用户和机器的网络。
一方面, 在您不得不处理这类情形时, 这是一个很有用的东西。
而另一方面, 它的复杂性又使得通过非常简单的例子很难解释 netgroup
到底是什么。 这一节的其余部分的例子将展示这个问题。
假设您在实验室中成功地部署 NIS 引起了上司的兴趣。
您接下来的任务是将 NIS 域扩展, 以覆盖校园中的一些其他的机器。
下面两个表格中包括了新用户和新机器, 及其简要说明。
用户名
说明
alpha, beta
IT 部门的普通雇员
charlie, delta
IT 部门的学徒
echo, foxtrott, golf, ...
普通雇员
able, baker, ...
目前的实习生
机器名
说明
war, death,
famine,
pollution
最重要的服务器。 只有 IT
部门的雇员才允许登录这些机器。
pride, greed,
envy, wrath,
lust, sloth
不太重要的服务器, 所有 IT 部门的成员,
都可以登录这些机器。
one, two,
three, four,
...
普通工作站。 只有
真正的 雇员才允许登录这些机器。
trashcan
一台不包含关键数据的旧机器。
即使是实习生, 也允许登录它。
如果您尝试通过一个一个地阻止用户来实现这些限制,
就需要在每一个系统的 passwd 文件中,
为每一个不允许登录该系统的用户添加对应的
-user 行。
如果忘记了任何一个, 就可能会造成问题。 在进行初始配置时,
正确地配置也许不是什么问题, 但随着日复一日地添加新用户,
总有一天 您会忘记为新用户添加某个行。
毕竟, Murphy 是一个乐观的人。
使用 netgroups 来处理这一状况可以带来许多好处。
不需要单独地处理每一个用户; 您可以赋予用户一个或多个 netgroups
身份, 并允许或禁止某一个 netgroup 的所有成员登录。
如果添加了新的机器, 只需要定义 netgroup 的登录限制。
如果增加了新用户, 也只需要将用户加入一个或多个 netgroup。
这些变化是相互独立的: 不再需要 对每一个用户和机器执行
……
。 如果您的 NIS 配置经过了谨慎的规划,
就只需要修改一个中央的配置文件, 就能够允许或禁止访问某台机器的权限了。
第一步是初始化 NIS 映射
netgroup。 FreeBSD 的 &man.ypinit.8; 默认情况下并不创建这个映射,
但它的 NIS 实现能够在创建这个映射之后立即对其提供支持。
要创建空映射, 简单地输入
ellington&prompt.root; vi /var/yp/netgroup
并开始增加内容。 在我们的例子中, 至少需要四个 nergruop:
IT 雇员, IT 学徒, 普通雇员和实习生。
IT_EMP (,alpha,test-domain) (,beta,test-domain)
IT_APP (,charlie,test-domain) (,delta,test-domain)
USERS (,echo,test-domain) (,foxtrott,test-domain) \
(,golf,test-domain)
INTERNS (,able,test-domain) (,baker,test-domain)
IT_EMP, IT_APP 等等,
是 netgroup 的名字。 每一个括号中的组中,
都有一些用户帐号。 组中的三个字段是:
在哪些机器上能够使用这些项。 如果不指定主机名,
则项在所有机器上都有效。 如果指定了主机,
则很容易造成混淆。
属于这个 netgroup 的帐号。
帐号的 NIS 域。 您可以从其他 NIS
域中把帐号导入到您的 netgroup 中,
如果您管理多个 NIS 域的话。
每一个字段都可以包括通配符。 参见
&man.netgroup.5; 了解更多细节。
netgroups
Netgroup 的名字一般来说不应超过 8 个字符,
特别是当您的 NIS 域中有机器打算运行其它操作系统的时候。
名字是区分大小写的; 使用大写字母作为 netgroup 的名字,
能够让您更容易地区分用户、 机器和 netgroup 的名字。
某些 NIS 客户程序 (FreeBSD 以外的那些) 可能无法处理含有大量项的
netgroup。 例如, 某些早期版本的 &sunos; 会在 netgroup
中包含多于 15 个 项 时出现问题。
要绕过这个问题, 可以创建多个 子netgroup,每一个中包含少于 15 个用户,
以及一个包含所有 子netgroup 的真正的 netgroup:
BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...]
BIGGRP2 (,joe16,domain) (,joe17,domain) [...]
BIGGRP3 (,joe31,domain) (,joe32,domain)
BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3
如果需要超过 225 个用户, 可以继续重复上面的过程。
激活并分发新的 NIS 映射非常简单:
ellington&prompt.root; cd /var/yp
ellington&prompt.root; make
这个操作会生成三个 NIS 映射, 即
netgroup、
netgroup.byhost 和
netgroup.byuser。 用 &man.ypcat.1;
可以检查这些 NIS 映射是否可用了:
ellington&prompt.user; ypcat -k netgroup
ellington&prompt.user; ypcat -k netgroup.byhost
ellington&prompt.user; ypcat -k netgroup.byuser
第一个命令的输出,
应该与 /var/yp/netgroup 的内容相近。
第二个命令, 如果没有指定本机专有的 netgroup,
则应该没有输出。 第三个命令,
则用于显示某个用户对应的 netgroup 列表。
客户机的设置也很简单。 要配置服务器
war, 只需进入
&man.vipw.8; 并把
+:::::::::
改为
+@IT_EMP:::::::::
现在, 只有 netgroup
IT_EMP 中定义的用户会被导入到
war 的口令数据库中,
因此只有这些用户能够登录。
不过, 这个限制也会作用于 shell 的
~, 以及所有在用户名和数字用户 ID
之间实施转换的函数的功能。 换言之, cd
~user 将不会正常工作, 而
ls -l 也将显示数字的 ID 而不是用户名,
并且 find . -user joe -print
将失败, 并给出 No such user 的错误信息。
要修正这个问题, 您需要导入所有的用户项, 而
不允许他们登录服务器。
这可以通过在
/etc/master.passwd 加入另一行来完成。
这行的内容是:
+:::::::::/sbin/nologin, 意思是
导入所有的项, 但导入项的 shell 则替换为
/sbin/nologin
。
通过在 /etc/master.passwd
中增加默认值, 可以替换掉
passwd 中的任意字段。
务必确认
+:::::::::/sbin/nologin 这一行出现在
+@IT_EMP::::::::: 之后。
否则, 所有从 NIS 导入的用户帐号将以 /sbin/nologin
作为登录 shell。
完成上面的修改之后, 在 IT 部门有了新员工时,
只需修改一个 NIS 映射就足够了。 您也可以用类似的方法,
在不太重要的服务器上, 把先前本地版本的 /etc/master.passwd
中的 +::::::::: 改为:
+@IT_EMP:::::::::
+@IT_APP:::::::::
+:::::::::/sbin/nologin
相关的用于普通工作站的配置则应是:
+@IT_EMP:::::::::
+@USERS:::::::::
+:::::::::/sbin/nologin
一切平安无事, 直到数周后, 有一天策略发生了变化:
IT 部门也开始招收实习生了。 IT 实习生允许使用普通的终端,
以及不太重要的服务器; 而 IT 学徒, 则可以登录主服务器。
您增加了新的 netgroup IT_INTERN, 以及新的 IT
实习生到这个 netgroup 并开始修改每一台机器上的配置……
老话说得好:牵一发, 动全身
。
NIS 通过 netgroup 来建立 netgroup 的能力,
正可以避免这样的情形。 一种可能的方法是建立基于角色的 netgroup。
例如, 您可以创建称为
BIGSRV 的 netgroup, 用于定义最重要的服务器上的登录限制,
以及另一个成为 SMALLSRV 的 netgroup,
用以定义次重要的服务器, 以及第三个, 用于普通工作站的 netgroup
USERBOX。 这三个 netgroup 中的每一个,
都包含了允许登录到这些机器上的所有 netgroup。
您的 NIS 映射中的新项如下所示:
BIGSRV IT_EMP IT_APP
SMALLSRV IT_EMP IT_APP ITINTERN
USERBOX IT_EMP ITINTERN USERS
这种定义登录限制的方法,
在您能够将机器分组并加以限制的时候可以工作的相当好。
不幸的是, 这是种例外, 而非常规情况。 多数时候,
需要按机器去定义登录限制。
与机器相关的 netgroup 定义, 是处理上述策略改动的另一种可能的方法。
此时, 每台机器的 /etc/master.passwd 中,
都包含两个 +
开头的行。 第一个用于添加允许登录的 netgroup
帐号, 而第二个则用于增加其它帐号, 并把 shell
设置为 /sbin/nologin。 使用 全大写
的机器名作为 netgroup 名是个好主意。 换言之, 这些行应该类似于:
+@BOXNAME:::::::::
+:::::::::/sbin/nologin
一旦在所有机器上都完成了这样的修改, 就再也不需要修改本地的
/etc/master.passwd 了。
所有未来的修改都可以在 NIS 映射中进行。 这里是一个例子,
其中展示了在这一应用情景中所需要的 netgroup 映射,
以及其它一些常用的技巧:
# Define groups of users first
IT_EMP (,alpha,test-domain) (,beta,test-domain)
IT_APP (,charlie,test-domain) (,delta,test-domain)
DEPT1 (,echo,test-domain) (,foxtrott,test-domain)
DEPT2 (,golf,test-domain) (,hotel,test-domain)
DEPT3 (,india,test-domain) (,juliet,test-domain)
ITINTERN (,kilo,test-domain) (,lima,test-domain)
D_INTERNS (,able,test-domain) (,baker,test-domain)
#
# Now, define some groups based on roles
USERS DEPT1 DEPT2 DEPT3
BIGSRV IT_EMP IT_APP
SMALLSRV IT_EMP IT_APP ITINTERN
USERBOX IT_EMP ITINTERN USERS
#
# And a groups for a special tasks
# Allow echo and golf to access our anti-virus-machine
SECURITY IT_EMP (,echo,test-domain) (,golf,test-domain)
#
# machine-based netgroups
# Our main servers
WAR BIGSRV
FAMINE BIGSRV
# User india needs access to this server
POLLUTION BIGSRV (,india,test-domain)
#
# This one is really important and needs more access restrictions
DEATH IT_EMP
#
# The anti-virus-machine mentioned above
ONE SECURITY
#
# Restrict a machine to a single user
TWO (,hotel,test-domain)
# [...more groups to follow]
如果您正使用某种数据库来管理帐号,
应该可以使用您的数据库的报告工具来创建映射的第一部分。
这样, 新用户就自动地可以访问这些机器了。
最后的提醒: 使用基于机器的 netgroup 并不总是适用的。
如果正在为学生实验室部署数十台甚至上百台同样的机器,
您应该使用基于角色的 netgroup, 而不是基于机器的 netgroup,
以便把 NIS 映射的尺寸保持在一个合理的范围内。
需要牢记的事项
这里是一些其它在使用 NIS 环境时需要注意的地方。
每次需要在实验室中增加新用户时,
必须 只 在 NIS 服务器上加入用户,
而且 一定要记得重建 NIS 映射。
如果您忘记了这样做, 新用户将无法登录除 NIS
主服务器之外的任何其它机器。 例如, 如果要在实验室增加新用户
jsmith, 我们需要:
&prompt.root; pw useradd jsmith
&prompt.root; cd /var/yp
&prompt.root; make test-domain
也可以运行 adduser jsmith 而不是
pw useradd jsmith.
将管理用的帐号排除在
NIS 映射之外。 一般来说,
您不希望这些管理帐号和口令被扩散到那些包含不应使用它们的用户的机器上。
确保 NIS 主和从服务器的安全,
并尽可能减少其停机时间。
如果有人攻入或简单地关闭这些机器,
则整个实验室的任也就无法登录了。
这是集中式管理系统中最薄弱的环节。
如果没有保护好 NIS 服务器, 您就有大批愤怒的用户需要对付了!
NIS v1 兼容性
FreeBSD 的 ypserv 提供了某些为 NIS v1
客户提供服务的支持能力。 FreeBSD 的 NIS 实现,
只使用 NIS v2 协议, 但其它实现可能会包含 v1 协议,
以提供对旧系统的向下兼容能力。 随这些系统提供的
ypbind 服务将首先尝试绑定 NIS v1
服务器, 即使它们并不真的需要它 (有些甚至可能会一直广播搜索请求,
即使已经从某台 v2 服务器得到了回应也是如此)。
注意, 尽管支持一般的客户机调用, 这个版本的
ypserv 并不能处理 v1 的映射传送请求;
因而, 它就不能与较早的支持 v1 协议的 NIS 服务器配合使用,
无论是作为主服务器还是从服务器。 幸运的是,
现今应该已经没有仍然在用的这样的服务器了。
同时作为 NIS 客户机的 NIS 服务器
在多服务器域的环境中, 如果服务器同时作为 NIS 客户, 在运行
ypserv 时要特别小心。
一般来说, 强制服务器绑定自己要比允许它们广播绑定请求要好,
因为这种情况下它们可能会相互绑定。 某些怪异的故障,
很可能是由于某一台服务器停机, 而其它服务器都依赖其服务所导致的。
最终, 所有的客户机都会超时并绑定到其它服务器,
但这个延迟可能会相当可观,
而且恢复之后仍然存在再次发生此类问题的隐患。
您可以强制一台机器绑定到特定的服务器, 这是通过
ypbind 的
参数来完成的。 如果不希望每次启动 NIS 服务器时都手工完成这项工作,
可以在 /etc/rc.conf 中加入:
nis_client_enable="YES" # run client stuff as well
nis_client_flags="-S NIS domain,server"
参见 &man.ypbind.8; 以了解更多情况。
口令格式
NIS
口令格式
在实现 NIS 时, 口令格式的兼容性问题是一种最为常见的问题。
假如您的 NIS 服务器使用 DES 加密口令, 则它只能支持使用 DES
的客户机。 例如, 如果您的网络上有
&solaris; NIS 客户机, 则几乎肯定需要使用 DES 加密口令。
要检查您的服务器和客户机使用的口令格式,
需要查看 /etc/login.conf。
如果主机被配置为使用 DES 加密的口令, 则
default class 将包含类似这样的项:
default:\
:passwd_format=des:\
:copyright=/etc/COPYRIGHT:\
[Further entries elided]
其他一些可能的 passwd_format
包括 blf 和 md5
(分别对应于 Blowfish 和 MD5 加密口令)。
如果修改了
/etc/login.conf, 就必须重建登录性能数据库,
这是通过以
root 身份运行下面的程序来完成的:
&prompt.root; cap_mkdb /etc/login.conf
已经在
/etc/master.passwd 中的口令的格式不会被更新,
直到用户在登录性能数据库重建
之后 首次修改口令为止。
接下来, 为了确保所有的口令都按照您选择的格式加密了,
还需要检查 /etc/auth.conf
中 crypt_default 给出的优先选择的口令格式。
要完成此工作, 将您选择的格式放到列表的第一项。 例如,
当使用 DES 加密的口令时, 对应项应为:
crypt_default = des blf md5
在每一台基于 &os; 的 NIS 服务器和客户机上完成上述工作之后,
就可以肯定您的网络上它们都在使用同样的口令格式了。 如果在 NIS
客户机上做身份验证时发生问题, 这也是第一个可能出现问题的地方。
注意: 如果您希望在混合的网络上部署 NIS 服务器,
可能就需要在所有系统上都使用 DES,
因为这是所有系统都能够支持的最低限度的公共标准。
Greg
Sutter
Written by
网络自动配置 (DHCP)
什么是 DHCP?
动态主机配置协议
DHCP
Internet Software Consortium (ISC)
DHCP, 动态主机配置协议, 是一种让系统得以连接到网络上,
并获取所需要的配置参数手段。 FreeBSD 6.0 之前的版本,
采用的是 ISC (Internet Software
Consortium) 的 DHCP 客户端 (&man.dhclient.8;) 实现。
更高版本使用的则是来自 OpenBSD 3.7
的 OpenBSD dhclient。
这里提供的所有关于 dhclient 的信息,
都是以 ISC 或 OpenBSD DHCP 客户端程序为准的。 DHCP
服务器是 ISC 软件包的一部分。
这一节都介绍哪些内容
这一节描述了 ISC 和 DHCP 系统中的客户端,
以及和 ISC DHCP 系统中的服务器端的组件。
客户端程序, dhclient,
是随 FreeBSD 作为它的一部分提供的; 而服务器部分,
则可以通过 net/isc-dhcp3-server port 得到。
&man.dhclient.8;、 &man.dhcp-options.5;、 以及
&man.dhclient.conf.5; 联机手册, 加上下面所介绍的参考文献,
都是非常有用的资源。
它如何工作
UDP
当 DHCP 客户程序, dhclient
在客户机上运行时, 它会开始广播请求配置信息的消息。 默认情况下,
这些请求是在 UDP 端口 68 上。 服务器通过 UDP 67
给出响应, 向客户机提供一个 IP 地址, 以及其他有关的配置参数,
例如子网掩码、 路由器, 以及 DNS 服务器。
所有这些信息都会以 DHCP
lease
的形式给出, 并且只在一段特定的时间内有效
(这是由 DHCP 服务器的维护者配置的)。 这样,
那些已经断开网络的客户机使用的陈旧的 IP 地址就能被自动地回收了。
DHCP 客户程序可以从服务器端获取大量的信息。
关于能获得的信息的详细列表, 请参考
&man.dhcp-options.5;。
FreeBSD 集成
FreeBSD 完全地集成了 ISC 或 OpenBSD 的 DHCP 客户端,
dhclient (取决于您运行的 &os; 版本)。
DHCP 客户端被安装程序直接支持,
并且是基本系统的一部分。
这使得您不再需要去了解那些已经运行了 DHCP 服务器的网络的具体配置参数。
从 FreeBSD 3.2 开始, 每一个发行版中均包含 dhclient。
sysinstall
sysinstall 能够支持 DHCP。 在
sysinstall 中配置网络接口时,
它询问的第二个问题便是: Do you want to try DHCP configuration of
the interface? (您是否希望在此接口上尝试 DHCP 配置?)
。
如果做肯定的回答, 则将运行 dhclient,
一旦成功, 则将自动地填写网络配置信息。
要在系统启动时使用 DHCP, 您必须做两件事:
DHCP
需求
您的内核中, 必须包含 bpf
设备。 如果需要这样做, 需要将
device bpf 添加到内核的编译配置文件中, 并重新编译内核。
要了解关于编译内核的进一步信息, 请参见 。 bpf
设备已经是 FreeBSD 发行版中默认的 GENERIC
内核的一部分了, 因此如果您没有对内核进行定制,
则不用创建一份新的内核配置文件, DHCP 就能工作了。
对于那些安全意识很强的人来说,
您应该知道 bpf
也是包侦听工具能够正确工作的条件之一 (当然,
它们还需要以
root 身份运行才行)。 bpf
是 使用 DHCP 所必须的,
但如果您对安全非常敏感,
则很可能会有理由不把 bpf
加入到您的内核配置中, 直到您真的需要使用 DHCP
为止。
编辑您的 /etc/rc.conf 并加入下面的设置:
ifconfig_fxp0="DHCP"
务必将 fxp0
替换为您希望自动配置的网络接口的名字, 您可以在
找到更进一步的介绍。
如果您希望使用另一位置的
dhclient,
或者需要给 dhclient 传递其他参数,
还可以添加下面的配置 (根据需要进行修改):
dhcp_program="/sbin/dhclient"
dhcp_flags=""
DHCP
服务器
DHCP 服务器, dhcpd,
是作为 net/isc-dhcp3-server port 的一部分提供的。
这个 port 包括了 ISC DHCP 服务器及其文档。
文件
DHCP
配置文件
/etc/dhclient.conf
dhclient 需要一个配置文件,
/etc/dhclient.conf。 一般说来,
这个文件中只包括注释, 而默认值基本上都是合理的。
这个配置文件在 &man.dhclient.conf.5; 联机手册中进行了进一步的阐述。
/sbin/dhclient
dhclient 是一个静态连编的,
它被安装到 /sbin 中。 &man.dhclient.8;
联机手册给出了关于
dhclient 的进一步细节。
/sbin/dhclient-script
dhclient-script 是一个 FreeBSD 专用的
DHCP 客户端配置脚本。 在
&man.dhclient-script.8; 中对它进行了描述,
但一般来说, 用户不需要对其进行任何修改,
就能够让一切正常运转了。
/var/db/dhclient.leases
DHCP 客户程序会维护一个数据库来保存有效的 lease,
它们被以日志的形式保存到这个文件中。 &man.dhclient.leases.5;
给出了更为细致的介绍。
进阶读物
DHCP 协议的完整描述是
RFC 2131。
关于它的其他信息资源的站点
也提供了详尽的资料。
安装和配置 DHCP 服务器
这一章包含哪些内容
这一章提供了关于如何在 FreeBSD 系统上使用 ISC
(Internet 软件协会) 的 DHCP 实现套件来架设 DHCP 服务器的信息。
DHCP 套件中的服务器部分并没有作为 FreeBSD 的一部分来提供,
因此您需要安装
net/isc-dhcp3-server
port 才能提供这个服务。 请参见
以了解关于如何使用 Ports Collection 的进一步详情。
安装 DHCP 服务器
DHCP
安装
为了在您的 FreeBSD 系统上进行配置以便作为 DHCP 服务器来使用,
需要把 &man.bpf.4; 设备编译进内核。 要完成这项工作, 需要将
device bpf 加入到您的内核配置文件中,
并重新联编内核。 要得到关于如何联编内核的进一步信息, 请参见
。
bpf 设备是 FreeBSD 所附带的
GENERIC 内核中已经联入的组件,
因此您并不需要为了让 DHCP 正常工作而特别地定制内核。
如果您有较强的安全意识, 应该注意
bpf 同时也是让听包程序能够正确工作的设备
(尽管这类程序仍然需要以特权用户身份运行)。
bpf
是 使用 DHCP 所必需的,
但如果您对安全非常敏感, 您可能会不希望将
bpf 放进内核,
直到您真的认为 DHCP 是必需的为止。
接下来要做的是编辑示范的
dhcpd.conf, 它由
net/isc-dhcp3-server port
安装。 默认情况下, 它的名字应该是
/usr/local/etc/dhcpd.conf.sample,
在开始修改之前, 您需要把它复制为
/usr/local/etc/dhcpd.conf。
配置 DHCP 服务器
DHCP
dhcpd.conf
dhcpd.conf 包含了一系列关于子网和主机的定义,
下面的例子可以帮助您理解它:
option domain-name "example.com";
option domain-name-servers 192.168.4.100;
option subnet-mask 255.255.255.0;
default-lease-time 3600;
max-lease-time 86400;
ddns-update-style none;
subnet 192.168.4.0 netmask 255.255.255.0 {
range 192.168.4.129 192.168.4.254;
option routers 192.168.4.1;
}
host mailhost {
hardware ethernet 02:03:04:05:06:07;
fixed-address mailhost.example.com;
}
这个选项指定了提供给客户机作为默认搜索域的域名。 请参考
&man.resolv.conf.5; 以了解关于这一概念的详情。
这个选项用于指定一组客户机使用的 DNS 服务器,
它们之间以逗号分隔。
提供给客户机的子网掩码。
客户机可以请求租约的有效期, 而如果没有,
则服务器将指定一个租约有效期, 也就是这个值 (单位是秒)。
这是服务器允许租出地址的最大时长。
如果客户机请求了更长的租期, 则它将得到一个地址,
但其租期仅限于 max-lease-time 秒。
这个选项用于指定 DHCP 服务器在一个地址被接受或释放时是否应对应尝试更新
DNS。 在 ISC 实现中, 这一选项是 必须指定的。
指定地址池中可以用来分配给客户机的 IP 地址范围。
在这个范围之间, 以及其边界的 IP 地址将分配给客户机。
定义客户机的默认网关。
主机的硬件 MAC 地址 (这样 DHCP
服务器就能够在接到请求时知道请求的主机身份)。
指定总是得到同一 IP 地址的主机。
请注意在此处使用主机名是对的, 因为 DHCP
服务器会在返回租借地址信息之前自行解析主机名。
在配制好
dhcpd.conf 之后, 应在
/etc/rc.conf 中启用 DHCP 服务器,
也就是增加:
dhcpd_enable="YES"
dhcpd_ifaces="dc0"
此处的 dc0 接口名应改为 DHCP
服务器需要监听 DHCP 客户端请求的接口 (如果有多个, 则用空格分开)。
接下来, 可以用下面的命令来启动服务:
&prompt.root; /usr/local/etc/rc.d/isc-dhcpd.sh start
如果未来您需要修改服务器的配置, 请务必牢记发送
SIGHUP 信号给
dhcpd 并 不会
导致配置文件的重新加载, 而这在其他服务程序中则是比较普遍的约定。
您需要发送 SIGTERM 信号来停止进程,
然后使用上面的命令来重新启动它。
文件
DHCP
配置文件
/usr/local/sbin/dhcpd
dhcpd 是静态连接的, 并安装到
/usr/local/sbin 中。 随 port 安装的
&man.dhcpd.8; 联机手册提供了关于
dhcpd 更为详尽的信息。
/usr/local/etc/dhcpd.conf
dhcpd 需要配置文件,
即 /usr/local/etc/dhcpd.conf
才能够向客户机提供服务。 这个文件需要包括应提供给客户机的所有信息,
以及关于服务器运行的其他信息。 此配置文件的详细描述可以在随 port
安装的 &man.dhcpd.conf.5; 联机手册上找到。
/var/db/dhcpd.leases
DHCP 服务器会维护一个它签发的租用地址数据库,
并保存在这个文件中, 这个文件是以日志的形式保存的。
随 port 安装的
&man.dhcpd.leases.5; 联机手册提供了更详细的描述。
/usr/local/sbin/dhcrelay
dhcrelay 在更为复杂的环境中,
可以用来支持使用 DHCP 服务器转发请求给另一个独立网络上的
DHCP 服务器。 如果您需要这个功能, 需要安装 net/isc-dhcp3-relay port。
&man.dhcrelay.8; 联机手册提供了更为详尽的介绍。
Chern
Lee
Contributed by
Tom
Rhodes
Daniel
Gerzo
域名系统 (<acronym>DNS</acronym>)
纵览
BIND
&os; 在默认情况下使用一个版本的 BIND (Berkeley
Internet Name Domain), 这是目前最为流行的 DNS 协议实现。
DNS 是一种协议, 可以通过它将域名同 IP 地址相互对应。
例如, 查询 www.FreeBSD.org
将得到 &os; Project 的 web 服务器的 IP 地址, 而查询 ftp.FreeBSD.org 则将得到响应的 FTP 机器的
IP 地址。 类似地, 也可以做相反的事情。 查询 IP
地址可以得到其主机名。 当然, 完成 DNS
查询并不需要在系统中运行域名服务器。
目前, 默认情况下&os; 使用的是 BIND9
DNS 服务软件。 我们内建于系统中的版本提供了增强的安全特性、
新的文件目录结构, 以及自动的 &man.chroot.8; 配置。
DNS
在 Internet 上的 DNS 是通过一套较为复杂的权威根域名系统,
顶级域名 (TLD), 以及一系列小规模的,
提供少量域名解析服务并对域名信息进行缓存的域名服务器组成的。
目前, BIND 由
Internet Software Consortium
维护。
术语
要理解这份文档, 需要首先了解一些相关的
DNS 术语。
resolver (解析器)
reverse DNS (反向 DNS)
root zone (根域)
术语
定义
正向 DNS
将域名映射到 IP 地址
原点 (Origin)
表示特定域文件所在的域
named, BIND, 域名服务器
在 &os; 中 BIND 域名服务器软件包的常见叫法。
解析器 (Resolver)
计算机用以向域名服务器查询域名信息的一个系统进程
反向 DNS
与正向 DNS 相对; 将 IP 地址映射为主机名
根域
Internet 域层次的起点。 所有的域都在根域之下,
类似文件系统中, 文件都在根目录之下那样。
域 (Zone)
独立的域, 子域, 或者由同一机构管理的 DNS 的一部分。
域
例子
域的例子:
. 是根域。
org. 是根域之下的一个顶级域名
(TLD)。
example.org. 是在
org.
TLD 之下的一个域。
1.168.192.in-addr.arpa 是一个表示所有
192.168.1.*
IP 地址空间中 IP
地址的域。
如您所见, 域名中越细节的部分会越靠左出现。
例如, example.org. 就比
org. 范围更小, 而 org. 又比根域更小。
域名各个部分的格局与文件系统十分类似:
/dev 目录在根目录中,
等等。
运行域名服务器的理由
域名服务器通常会有两种形式: 权威域名服务器,
以及缓存域名服务器。
下列情况需要有权威域名服务器:
想要向全世界提供 DNS 信息,
并对请求给出权威应答。
注册了类似 example.org
的域, 而需要将 IP 指定到其下的主机名上。
某个 IP 地址块需要反向
DNS 项 (IP 到主机名)。
备份服务器, 或常说的从 (slave) 服务器,
会在主服务器出现问题或无法访问时来应答查询请求。
下列情况需要有缓存域名服务器:
本地的 DNS 服务器能够缓存,
并比直接向外界的域名服务器请求更快地得到应答。
当有人查询 www.FreeBSD.org 时,解析器通常会向上级
ISP 的域名服务器发出请求, 并获得回应。 如果有本地的缓存 DNS
服务器, 查询只有在第一次被缓存 DNS 服务器发到外部世界。
其他的查询不会发向局域网外, 因为它们已经有在本地的缓存了。
DNS 如何运作
在 &os; 中, BIND 服务程序被称为
named, 其原因显而易见。
文件
描述
&man.named.8;
BIND 服务程序
&man.rndc.8;
域名服务控制程序
/etc/namedb
BIND 存放域名信息的位置
/etc/namedb/named.conf
域名服务配置文件
随在服务器上配置的域的性质不同, 域的定义文件一般会存放到
/etc/namedb 目录中的 master、 slave, 或 dynamic 子目录里。
这些文件包含了在域名服务器发出回应时所需的 DNS 信息。
启动 BIND
BIND
starting (启动)
由于 BIND 是默认安装的, 因此配置它相对而言很简单。
默认的 named 配置是在
&man.chroot.8; 环境中提供基本的域名解析服务。
如果希望启动一下这种配置, 可以执行下面的命令:
&prompt.root; /etc/rc.d/named forcestart
如果希望 named
服务在每次启动的时候都能够启动, 需要在
/etc/rc.conf 中加入:
named_enable="YES"
当然, 除了这份文档所介绍的配置选项之外, 在
/etc/namedb/named.conf 中还有很多其它的选项。
不过, 如果您需要了解 &os; 中用于启动 named
的那些选项的话, 则可以查看
/etc/defaults/rc.conf 中的
named_* 参数, 并参考
&man.rc.conf.5; 联机手册。 除此之外,
也是一个不错的起点。
配置文件
BIND
configuration files (配置文件)
目前, named 的配置文件存放于
/etc/namedb 目录中,
在使用前需要根据需要进行修改,
除非只打算用它来完成简单的域名解析任务。
同时这个目录也是进行绝大多数配置的地方。
使用 <command>make-localhost</command>
要为 localhost 配置主域, 需要进入
/etc/namedb 目录,
并运行下面的命令:
&prompt.root; sh make-localhost
如果一切正常的话, 在
master 子目录中会增加一组文件。
本地域名对应的文件是 localhost.rev,
而 IPv6 对应的配置则是 localhost-v6.rev。
作为默认配置, 所需的信息已经放到了
named.conf 文件中。
<filename>/etc/namedb/named.conf</filename>
// $FreeBSD$
//
// Refer to the named.conf(5) and named(8) man pages, and the documentation
// in /usr/share/doc/bind9 for more details.
//
// If you are going to set up an authoritative server, make sure you
// understand the hairy details of how DNS works. Even with
// simple mistakes, you can break connectivity for affected parties,
// or cause huge amounts of useless Internet traffic.
options {
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";
// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.
listen-on { 127.0.0.1; };
// If you have IPv6 enabled on this system, uncomment this option for
// use as a local resolver. To give access to the network, specify
// an IPv6 address, or the keyword "any".
// listen-on-v6 { ::1; };
// In addition to the "forwarders" clause, you can force your name
// server to never initiate queries of its own, but always ask its
// forwarders only, by enabling the following line:
//
// forward only;
// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below. This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.
/*
forwarders {
127.0.0.1;
};
*/
正如注释所言, 如果希望从上级缓存中受益,
可以在此处启用 forwarders。
正常情况下, 域名服务器会逐级地查询
Internet 来找到特定的域名服务器, 直到得到答案为止。
这个选项将让它首先查询上级域名服务器 (或另外提供的域名服务器),
从而从它们的缓存中得到结果。 如果上级域名服务器是一个繁忙的高速域名服务器,
则启用它将有助于改善服务品质。
127.0.0.1
不会 正常工作。
一定要把地址改为您上级服务器的 IP 地址。
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND versions 8 and later
* use a pseudo-random unprivileged UDP port by default.
*/
// query-source address * port 53;
};
// If you enable a local name server, don't forget to enter 127.0.0.1
// first in your /etc/resolv.conf so this server will be queried.
// Also, make sure to enable it in /etc/rc.conf.
zone "." {
type hint;
file "named.root";
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "master/localhost.rev";
};
// RFC 3152
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
type master;
file "master/localhost-v6.rev";
};
// NB: Do not use the IP addresses below, they are faked, and only
// serve demonstration/documentation purposes!
//
// Example slave zone config entries. It can be convenient to become
// a slave at least for the zone your own domain is in. Ask
// your network administrator for the IP address of the responsible
// primary.
//
// Never forget to include the reverse lookup (IN-ADDR.ARPA) zone!
// (This is named after the first bytes of the IP address, in reverse
// order, with ".IN-ADDR.ARPA" appended.)
//
// Before starting to set up a primary zone, make sure you fully
// understand how DNS and BIND works. There are sometimes
// non-obvious pitfalls. Setting up a slave zone is simpler.
//
// NB: Don't blindly enable the examples below. :-) Use actual names
// and addresses instead.
/* An example master zone
zone "example.net" {
type master;
file "master/example.net";
};
*/
/* An example dynamic zone
key "exampleorgkey" {
algorithm hmac-md5;
secret "sf87HJqjkqh8ac87a02lla==";
};
zone "example.org" {
type master;
allow-update {
key "exampleorgkey";
};
file "dynamic/example.org";
};
*/
/* Examples of forward and reverse slave zones
zone "example.com" {
type slave;
file "slave/example.com";
masters {
192.168.1.1;
};
};
zone "1.168.192.in-addr.arpa" {
type slave;
file "slave/1.168.192.in-addr.arpa";
masters {
192.168.1.1;
};
};
*/
在 named.conf 中,
还给出了从域、转发域和反解析域的例子。
如果新增了域, 就必需在 named.conf 中加入对应的项目。
例如, 用于
example.org 的域文件的描述类似下面这样:
zone "example.org" {
type master;
file "master/example.org";
};
如 语句所标示的那样,
这是一个主域, 其信息保存在
/etc/namedb/master/example.org
中, 如 语句所示。
zone "example.org" {
type slave;
file "slave/example.org";
};
在从域的情形中, 所指定的域的信息会从主域名服务器传递过来,
并保存到对应的文件中。 当主域服务器发生问题或不可达时,
从域名服务器就有一份可用的域名信息, 从而能够对外提供服务。
域文件
BIND
zone files (域文件)
下面的例子展示了用于 example.org 的主域文件 (存放于
/etc/namedb/master/example.org):
$TTL 3600 ; 1 hour
example.org. IN SOA ns1.example.org. admin.example.org. (
2006051501 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)
; DNS Servers
IN NS ns1.example.org.
IN NS ns2.example.org.
; MX Records
IN MX 10 mx.example.org.
IN MX 20 mail.example.org.
IN A 192.168.1.1
; Machine Names
localhost IN A 127.0.0.1
ns1 IN A 192.168.1.2
ns2 IN A 192.168.1.3
mx IN A 192.168.1.4
mail IN A 192.168.1.5
; Aliases
www IN CNAME @
请注意以 .
结尾的主机名是全称主机名, 而结尾没有
.
的则是相对于原点的主机名。 例如,
www 将被转换为
www.原点.
在这个假想的域信息文件中, 我们的原点是
example.org., 因此 www
将被当作 www.example.org.。
域信息文件的格式如下:
记录名 IN 记录类型 值
DNS
记录
最常用的 DNS 记录:
SOA
域权威开始
NS
权威域名服务器
A
主机地址
CNAME
别名对应的正规名称
MX
邮件传递服务器
PTR
域名指针 (用于反向 DNS)
example.org. IN SOA ns1.example.org. admin.example.org. (
2006051501 ; Serial
10800 ; Refresh after 3 hours
3600 ; Retry after 1 hour
604800 ; Expire after 1 week
86400 ) ; Minimum TTL of 1 day
example.org.
域名, 同时也是这个域信息文件的原点。
ns1.example.org.
该域的主/权威域名服务器。
admin.example.org.
此域的负责人的电子邮件地址,
其中 @
被换掉了。
(admin@example.org 对应
admin.example.org)
2006051501
文件的序号。 每次修改域文件时都必须增加这个数字。
现今, 许多管理员会考虑使用
yyyymmddrr 这样的格式来表示序号。
2006051501 通常表示上次修改于
05/15/2006, 而后面的
01 则表示在那天的第一次修改。
序号非常重要, 它用于通知从域服务器更新数据。
IN NS ns1.example.org.
这是一个 NS 项。 每个准备提供权威应答的服务器都必须有一个对应项。
localhost IN A 127.0.0.1
ns1 IN A 192.168.1.2
ns2 IN A 192.168.1.3
mx IN A 192.168.1.4
mail IN A 192.168.1.5
A 记录指明了机器名。 正如在前面所按倒的,
ns1.example.org 将解析为
192.168.1.2。
IN A 192.168.1.1
这一行把当前原点 example.org
指定为使用 IP 地址
192.168.1.1。
www IN CNAME @
正规名 (CNAME) 记录通常用于为某台机器指定别名。
在这个例子中, 将 www
指定成了 主
机器的一个别名,
后者的名字与域名 example.org 相同
(192.168.1.1)。
CNAME 也可以用来提供主机别名,
或将一个主机名以轮转 (round robin) 方式指定到多台服务器。
MX 记录
IN MX 10 mail.example.org.
MX 记录表示哪个邮件服务器负责接收发到这个域的邮件。
mail.example.org 是邮件服务器的主机名,
而 10 则是它的优先级。
可以有多台邮件服务器, 其优先级分别是 10、
20 等等。 尝试向 example.org 投递邮件的服务器,
会首先尝试优先级最高的 MX (优先级数值最低的记录)、
接着尝试次高的, 并重复这一过程直到邮件递送到达为止。
对于 in-addr.arpa 域名信息文件 (反向 DNS), 使用了同样的格式,
只是 PTR 项代替了 A 或 CNAME 的位置。
$TTL 3600
1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. (
2006051501 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
3600 ) ; Minimum
IN NS ns1.example.org.
IN NS ns2.example.org.
1 IN PTR example.org.
2 IN PTR ns1.example.org.
3 IN PTR ns2.example.org.
4 IN PTR mx.example.org.
5 IN PTR mail.example.org.
这个文件给出了上述假想域中 IP 地址到域名的映射关系。
缓存域名服务器
BIND
缓存域名服务器
缓存域名服务器是对任何域都不提供权威解析的域名服务器。
它自己简单地完成查询, 并记住这些查询以备后续使用。
要建立这样的服务器, 只需像平时一样配置一个域名服务器,
而不配置域就可以了。
安全
尽管 BIND 是最为常用的 DNS 实现, 但它总是有一些安全问题。
时常会有人发现一些可能的甚至可以利用的安全漏洞。
尽管 &os; 会自动将
named 放到 &man.chroot.8;
环境中运行, 但仍有一些其它可用的安全机制来帮助您规避潜在的针对
DNS 服务的攻击。
阅读 CERT 的安全公告,
并订阅 the &a.security-notifications; 是一个有助于帮助您了解最新
Internet 及 &os; 安全问题的好习惯。
如果发现了问题, 确保源代码是最新的,
并重新联编一份 named 不会给您带来任何麻烦。
进一步阅读
BIND/named 联机手册:
&man.rndc.8; &man.named.8; &man.named.conf.5;
官方的 ISC BIND
页面
Official ISC BIND
Forum
BIND FAQ
O'Reilly
DNS 和 BIND 第 5 版
RFC1034
- 域名 - 概念和工具
RFC1035
- 域名 - 实现及其标准
Murray
Stokely
Contributed by
Apache HTTP 服务器
web 服务器
配置
Apache
纵览
&os; 被用于运行许多全球最为繁忙的 web 站点。
大多数 Internet 上的 web 服务器,
都使用 Apache HTTP 服务器。
Apache 软件包可以在您的 FreeBSD
安装盘上找到。 如果没有在首次安装时附带安装
Apache, 则可以通过 www/apache13 或 www/apache20 port 来安装。
+ role="package">www/apache22 port 来安装。
一旦成功地安装了 Apache,
就必须对其进行配置。
这一节介绍了 1.3.X 版本的
Apache HTTP 服务器 的配置,
因为它是随 &os; 一同使用的最多的版本。
Apache 2.X 引入了很多新技术,
但在此并不讨论。 要了解关于 Apache 2.X
的更多资料, 请参见 。
配置
Apache
配置文件
主要的 Apache HTTP Server 配置文件,
在 &os; 上会安装为
/usr/local/etc/apache/httpd.conf。
这是一个典型的 &unix; 文本配置文件, 它使用 #
作为注释符。 关于全部配置选项的详尽介绍超出了本书的范围,
这里将只介绍最常被修改的那些。
ServerRoot "/usr/local"
这指定了 Apache
安装的顶级目录。 执行文件被放到服务器根目录 (server root) 的
bin 和
sbin 子目录中,
而配置文件则位于
etc/apache。
ServerAdmin you@your.address
这个地址是在服务器发生问题时应发送电子邮件的地址,
它会出现在服务器生成的页面上, 例如错误页面。
ServerName www.example.com
ServerName 允许您配置发送回客户端的主机名,
如果您的服务器被用户以别的名字访问 (例如, 使用 www
而不是主机本身的真实名字)。
DocumentRoot "/usr/local/www/data"
DocumentRoot: 这个目录是您的文档所在的目录。
默认情况下, 所有的请求都会从这个位置去获取,
但也可以通过符号连接和别名指定其它的位置。
在修改配置之前备份
Apache 的配置文件永远是一个好习惯。
一旦对初始配置满意了, 就可以开始运行 Apache 了。
运行 <application>Apache</application>
Apache
启动和停止
与许多其它网络服务不同, Apache 并不依赖
inetd 超级服务器来运行。
一般情况下会把它配置为一个独立的服务器, 以期在客户的 web
浏览器连入 HTTP 请求时, 能够获得更好的性能。 它提供了一个 shell
脚本来使启动、 停止和重新启动服务器变得尽可能地简单。
首次启动 Apache,
只需执行:
&prompt.root; /usr/local/sbin/apachectl start
可以在任何时候使用下面的命令来停止服务:
&prompt.root; /usr/local/sbin/apachectl stop
当由于某种原因修改了配置文件之后, 需要重启服务器:
&prompt.root; /usr/local/sbin/apachectl restart
要在重启 Apache 服务器时不中断当前的连接,
则应运行:
&prompt.root; /usr/local/sbin/apachectl graceful
更多的信息, 可以在
&man.apachectl.8; 联机手册中找到。
要在系统启动时启动 Apache, 则应在
/etc/rc.conf 中加入:
apache_enable="YES"
+ 或者对于Apache 2.2:
+
+ apache22_enable="YES"
+
如果您希望在系统引导时启动 Apache
httpd 程序并指定其它一些选项,
则可以把下面的行加到
rc.conf:
apache_flags=""
现在 web 服务器就开始运行了, 您可以使用 web 浏览器打开
http://localhost/。 默认显示的 web 页面是
/usr/local/www/data/index.html。
虚拟主机
Apache 支持两种不同类型的虚拟主机。
第一种方法是基于名字的虚拟主机。 基于名字的虚拟主机使用客户机发来的
HTTP/1.1 头来辨别主机名。 这使得不同的域得以共享同一个 IP 地址。
要配置 Apache 来使用基于名字的虚拟主机,
需要把类似下面的项加到您的 httpd.conf 中:
NameVirtualHost *
如果您的 web 服务器的名字是 www.domain.tld,
而您希望建立一个
www.someotherdomain.tld 的虚拟域,
则应在
httpd.conf 中加入:
<VirtualHost *>
ServerName www.domain.tld
DocumentRoot /www/domain.tld
</VirtualHost>
<VirtualHost *>
ServerName www.someotherdomain.tld
DocumentRoot /www/someotherdomain.tld
</VirtualHost>
您需要把上面的地址和文档路径改为所使用的那些。
要了解关于虚拟主机的更多信息,
请参考官方的 Apache 文档, 这些文档可以在 找到。
Apache 模块
Apache
模块
有许多不同的 Apache 模块,
它们可以在基本的服务器基础上提供许多附加的功能。 FreeBSD 的
Ports Collection 为安装
Apache
和常用的附加模块提供了非常方便的方法。
mod_ssl
web 服务器
安全
SSL
密码学
mod_ssl 这个模块使用 OpenSSL 库,
来提供通过 安全套接字层 (SSL v2/v3) 和 传输层安全 (TLS v1)
协议的强加密能力。
这个模块提供了从某一受信的证书签署机构申请签名证书所需的所有工具,
您可以藉此在 &os; 上运行安全的 web 服务器。
如果您未曾安装
Apache, 也可以直接安装一份包含了
mod_ssl 的版本的
Apache
1.3.X, 其方法是通过 www/apache13-modssl port 来进行。 SSL
支持已经作为 Apache 2.X 的一部分提供,
您可以通过
- www/apache20 port 来安装后者。
+ www/apache22 port 来安装后者。
使用 Perl & PHP 的动态网站
在过去几年中, 越来越多的企业开始通过
Internet 以期扩大它们的收入和影响。 这也为交互式
web 内容提出了更多的要求。 尽管一些公司, 如 µsoft;,
提供了基于它们专有产品的解决方案,
但开源社区也给出了自己的答案。 目前, 最为常用的动态 web
内容实现两种方法是
mod_perl &
mod_php。
mod_perl
mod_perl
Perl
Apache/Perl 集成计划, 将 Perl
程序设计语言的强大功能, 与 Apache
HTTP 服务器 紧密地结合到了一起。
通过 mod_perl 模块,
可以完全使用 Perl 来撰写 Apache 模块。
此外, 服务器中嵌入的持久性解释器, 消除了由于启动外部的解释器为 Perl
脚本的启动所造成的性能损失。
mod_perl 通过多种方式提供。
要使用 mod_perl,
应该注意 mod_perl 1.0
只能配合 Apache 1.3 而
mod_perl 2.0 只能配合
- Apache 2 使用。
+ Apache 2.X 使用。
mod_perl 1.0 可以通过
www/mod_perl 安装,
而以静态方式联编的版本, 则可以通过
www/apache13-modperl
来安装。
mod_perl 2.0 则可以通过
www/mod_perl2 安装。
Tom
Rhodes
Written by
mod_php
mod_php
PHP
PHP, 也称为 PHP:
Hypertext Preprocessor
,
是一种特别适合于 Web 开发的通用脚本语言。
它能够很容易地嵌入到 HTML 之中,
其语法接近于 C、 &java;, 以及 Perl, 以期让 web
开发人员的一迅速撰写动态生成的页面。
要获得用于
Apache web 服务器的
PHP5 支持, 可以从安装
lang/php5
port 开始。
在首次安装 lang/php5 port
的时候, 系统会自动显示可用的一系列
OPTIONS (配置选项)。 如果您没有看到菜单,
例如由于过去曾经安装过 lang/php5 port 等等,
可以用下面的命令再次显示配置菜单, 在 port 的目录中执行:
&prompt.root; make config
在配置选项对话框中, 选中
APACHE 这一项, 就可以联编出用于与
Apache web 服务器配合使用的可动态加载的
mod_php5 模块了。
由于各式各样的原因 (例如, 出于已经部署的 web 应用的兼容性考虑),
许多网站仍在使用 PHP4。 如果您需要
mod_php4 而不是
mod_php5, 请使用
lang/php4 port。
lang/php4 port 也支持许多
lang/php5 port 提供的配置和编译时选项。
前面我们已经成功地安装并配置了用于支持动态 PHP 应用所需的模块。
请检查并确认您已将下述配置加入到了
/usr/local/etc/apache/httpd.conf 中:
LoadModule php5_module libexec/apache/libphp5.so
AddModule mod_php5.c
<IfModule mod_php5.c>
DirectoryIndex index.php index.html
</IfModule>
<IfModule mod_php5.c>
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
</IfModule>
这些工作完成之后, 还需要使用
apachectl 命令来完成一次 graceful
restart 以便加载 PHP 模块:
&prompt.root; apachectl graceful
在未来您升级 PHP 时,
make config 这步操作就不再是必需的了;
您所选择的 OPTIONS 会由 &os;
的 Ports 框架自动保存。
在 &os; 中的 PHP 支持是高度模块化的,
因此基本安装的功能十分有限。 增加其他功能的支持非常简单, 只需通过
lang/php5-extensions port
即可完成。 这个 port 提供了一个菜单驱动的界面来帮助完成
PHP 扩展的安装。 另外, 也可以通过对应的 port
来单独安装扩展。
例如, 要将对于
MySQL 数据库服务器的支持加入
PHP5, 只需简单地安装
databases/php5-mysql
port。
安装完扩展之后, 必须重新启动
Apache 服务器,
来令其适应新的配置变更:
&prompt.root; apachectl graceful
Murray
Stokely
Contributed by
文件传输协议 (FTP)
FTP 服务器
纵览
文件传输协议 (FTP) 为用户提供了一个简单的, 与 FTP 服务器交换文件的方法。 &os;
系统中包含了 FTP
服务软件, ftpd。 这使得在 &os;
上建立和管理 FTP 服务器变得非常简单。
配置
最重要的配置步骤是决定允许哪些帐号访问 FTP 服务器。
一般的 &os; 系统包含了一系列系统帐号分别用于执行不同的服务程序,
但未知的用户不应被允许登录并使用这些帐号。
/etc/ftpusers 文件中, 列出了不允许通过
FTP 访问的用户。 默认情况下, 这包含了前述的系统帐号,
但也可以在这里加入其它不应通过 FTP 访问的用户。
您可能会希望限制通过 FTP 登录的某些用户,
而不是完全阻止他们使用 FTP。 这可以通过 /etc/ftpchroot
文件来完成。 这一文件列出了希望对 FTP 访问进行限制的用户和组的表。
而在 &man.ftpchroot.5; 联机手册中, 已经对此进行了详尽的介绍,
故而不再赘述。
FTP
匿名
如果您想要在服务器上启用匿名的 FTP 访问, 则必须建立一个名为
ftp 的 &os; 用户。 这样, 用户就可以使用
ftp 或 anonymous
和任意的口令 (习惯上, 应该是以那个用户的邮件地址作为口令)
来登录和访问您的 FTP 服务器。 FTP 服务器将在匿名用户登录时调用
&man.chroot.2;, 以便将其访问限制在
ftp 用户的主目录中。
有两个文本文件可以用来指定显示在 FTP 客户程序中的欢迎文字。
/etc/ftpwelcome 文件中的内容将在用户连接上之后,
在登录提示之前显示。 在成功的登录之后, 将显示
/etc/ftpmotd 文件中的内容。
请注意后者是相对于登录环境的, 因此对于匿名用户而言,
将显示 ~ftp/etc/ftpmotd。
一旦正确地配置了 FTP 服务器,
就必须在 /etc/inetd.conf 中启用它。
这里需要做的全部工作就是将注释符
#
从已有的
ftpd 行之前去掉:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
如 所介绍的那样,
修改这个文件之后, 必须让 inetd 重新加载它,
才能使新的设置生效。
现在可以通过输入下面的命令来登录您的 FTP 服务器了:
&prompt.user; ftp localhost
维护
syslog
日志文件
FTP
ftpd 服务程序使用
&man.syslog.3; 来记录消息。 默认情况下,
系统日志将把和 FTP 相关的消息记录到
/var/log/xferlog 文件中。 FTP 日志的位置,
可以通过修改
/etc/syslog.conf 中如下所示的行来修改:
ftp.info /var/log/xferlog
FTP
匿名
一定要小心对待在匿名 FTP 服务器中可能遇到的潜在问题。
一般而言, 允许匿名用户上传文件应三思。 您可能发现自己的 FTP
站点成为了交易未经授权的商业软件的论坛, 或发生更糟糕的情况。
如果不需要匿名的 FTP 上传, 可以在文件上配置权限,
使得您能够在其它匿名用户能够下载这些文件之前复查它们。
Murray
Stokely
Contributed by
为 µsoft.windows; 客户机提供文件和打印服务 (Samba)
Samba 服务器
Microsoft Windows
文件服务器
Windows 客户机
打印服务器
Windows 客户机
纵览
Samba 是一个流行的开源软件包,
它提供了针对 µsoft.windows; 客户机的文件和打印服务。
这类客户机可以连接并使用 FreeBSD 系统上的文件空间,
就如同使用本地的磁盘一样, 或者像使用本地打印机一样使用
FreeBSD 上的打印机。
Samba 软件包可以在您的 FreeBSD
安装盘上找到。 如果您没有在初次安装 FreeBSD
时安装 Samba, 则可以通过 net/samba3 port 或 package 来安装。
配置
默认的 Samba 配置文件会以
/usr/local/share/examples/smb.conf.default 的名字安装。
这个文件必须复制为
/usr/local/etc/smb.conf 并进行定制,
才能开始使用 Samba。
smb.conf 文件中包含了
Samba 的运行时配置信息,
例如对于打印机的定义, 以及希望共享给 &windows;
客户机的 共享文件系统
。
Samba 软件包包含了一个称为
swat 的 web 管理工具,
后者提供了配置 smb.conf 文件的简单方法。
使用 Samba Web 管理工具 (SWAT)
Samba Web 管理工具 (SWAT) 是一个通过
inetd 运行的服务程序。 因此,
需要把 /etc/inetd.conf 中下面几行的注释去掉,
才能够使用 swat
来配置 Samba:
swat stream tcp nowait/400 root /usr/local/sbin/swat swat
如 中所介绍的那样,
在修改了这个配置文件之后, 必须让 inetd
重新加载配置, 才能使其生效。
一旦在 inetd.conf 中启用了
swat, 就可以用浏览器访问
connect to 了。
您将首先使用系统的 root
帐号登录。
只要成功地登录进了
Samba 配置页面,
就可以浏览系统的文档, 或从
Globals(全局) 选项卡开始配置了。
Globals 小节对应于 [global]
小节中的变量, 前者位于
/usr/local/etc/smb.conf 中。
全局配置
无论是使用 swat,
还是直接编辑 /usr/local/etc/smb.conf,
通常首先要配置的 Samba
选项都是:
workgroup
NT 域名或工作组名,
其他计算机将通过这些名字来找到服务器。
netbios name
NetBIOS
这个选项用于设置 Samba 服务器的
NetBIOS 名字。 默认情况下, 这是所在主机的 DNS 名字的第一部分。
server string
这个选项用于设置通过 net view
命令, 以及某些其他网络工具可以查看到的关于服务器的说明性文字。
安全配置
在
/usr/local/etc/smb.conf 中的两个最重要的配置,
是选定的安全模型, 以及客户机上用户的口令存放后端。
下面的语句控制这些选项:
security
最常见的选项形式是
security = share 和 security
= user。 如果您的客户机使用用户名,
并且这些用户名与您的 &os; 机器一致,
一般应选择用户级 (user) 安全。 这是默认的安全策略,
它要求客户机首先登录, 然后才能访问共享的资源。
如果采用共享级 (share) 安全,
则客户机不需要用有效的用户名和口令登录服务器,
就能够连接共享的资源。 这是较早版本的
Samba 中的默认值。
passdb backend
NIS+
LDAP
SQL 数据库
Samba 提供了若干种不同的验证后端模型。
您可以通过 LDAP、 NIS+、 SQL 数据库, 或经过修改的口令文件,
来完成客户端的身份验证。 默认的验证模式是
smbpasswd, 这也是本章将介绍的全部内容。
假设您使用的是默认的 smbpasswd
后端, 则必须首先创建一个
/usr/local/private/smbpasswd 文件,
来允许 Samba 对客户进行身份验证。
如果您打算让 &unix; 用户帐号能够从 &windows;
客户机上登录, 可以使用下面的命令:
&prompt.root; smbpasswd -a username
请参见
官方的 Samba HOWTO
以了解关于配置选项的进一步信息。 按照前面给出的描述,
您应该已经可以启动
Samba 了。
启动 <application>Samba</application>
net/samba3 port
会增加一个新的用于控制
Samba 的启动脚本。 要启用这个脚本,
以便用它来完成启动、 停止或重启
Samba 的任务, 需要在
/etc/rc.conf 文件中加入:
samba_enable="YES"
此外, 也可以进行更细粒度的控制:
nmbd_enable="YES"
smbd_enable="YES"
这也同时配置了在系统引导时启动 Samba。
配置好之后, 就可以在任何时候通过下面的命令来启动
Samba 了:
&prompt.root; /usr/local/etc/rc.d/samba start
Starting SAMBA: removing stale tdbs :
Starting nmbd.
Starting smbd.
请参见 以了解关于使用 rc 脚本的进一步信息。
Samba 事实上包含了三个相互独立的服务程序。
您应该能够看到
nmbd 和 smbd
两个服务程序都是通过 samba 脚本启动的。 如果在
smb.conf 中启用了 winbind 名字解析服务,
则应该可以看到 winbindd
服务被启动起来。
可以在任何时候通过下面的命令来停止运行
Samba:
&prompt.root; /usr/local/etc/rc.d/samba stop
Samba 是一个复杂的软件包,
它提供了用于与 µsoft.windows; 网络进行集成的各式各样的功能。
要了解关于这里所介绍的基本安装以外的其它功能,
请访问 。
Tom
Hukins
Contributed by
通过 NTP 进行时钟同步
NTP
纵览
随着时间的推移, 计算机的时钟会倾向于漂移。
网络时间协议 (NTP) 是一种确保您的时钟保持准确的方法。
许多 Internet 服务依赖、 或极大地受益于本地计算机时钟的准确性。
例如, web 服务器可能会接收到一个请求,
要求如果文件在某一时刻之后修改过才发送它。
在局域网环境中, 共享文件的计算机之间的时钟是否同步至关重要,
因为这样才能使时间戳保持一致。 类似 &man.cron.8;
这样的程序, 也依赖于正确的系统时钟, 才能够准确地执行操作。
NTP
ntpd
FreeBSD 附带了 &man.ntpd.8; NTP 服务器,
它可以用于查询其它的 NTP
服务器, 并配置本地计算机的时钟, 或者为其它机器提供服务。
选择合适的 NTP 服务器
NTP
选择服务器
为了同步您的系统时钟,
需要首先找到至少一个 NTP 服务器以供使用。 网络管理员,
或 ISP 都可能会提供用于这样目的的 NTP
服务器—请查看他们的文档以了解是否是这样。
另外, 也有一个在线的 公开的
NTP 服务器列表, 您可以从中选一个较近的 NTP 服务器。
请确认您选择的服务器的访问策略, 如果需要的话,
申请一下所需的许可。
选择多个相互不连接的 NTP 服务器是一个好主意,
这样在某个服务器不可达, 或者时钟不可靠时就可以有别的选择。
这是因为, &man.ntpd.8;
会智能地选择它收到的响应—它会更倾向于使用可靠的服务器。
配置您的机器
NTP
配置
基本配置
ntpdate
如果只想在系统启动时同步时钟,
则可以使用 &man.ntpdate.8;。 对于经常重新启动,
并且不需要经常同步的桌面系统来说这比较适合,
但绝大多数机器都应该运行 &man.ntpd.8;。
在引导时使用 &man.ntpdate.8; 来配合运行 &man.ntpd.8;
也是一个好主意。 &man.ntpd.8; 渐进地修正时钟,
而 &man.ntpdate.8; 则直接设置时钟,
无论机器的当前时间和正确时间有多大的偏差。
要启用引导时的 &man.ntpdate.8;, 需要把
ntpdate_enable="YES" 加到
/etc/rc.conf 中。 此外,
还需要通过 ntpdate_flags
来设置同步的服务器和选项,
它们将传递给 &man.ntpdate.8;。
NTP
ntp.conf
一般配置
NTP 是通过
/etc/ntp.conf 文件来进行配置的,
其格式在 &man.ntp.conf.5; 中进行了描述。
下面是一个例子:
server ntplocal.example.com prefer
server timeserver.example.org
server ntp2a.example.net
driftfile /var/db/ntp.drift
这里, server 选项指定了使用哪一个服务器,
每一个服务器都独立一行。 如果某一台服务器上指定了 prefer
(偏好) 参数, 如上面的 ntplocal.example.com,
则会优先选择这个服务器。
如果偏好的服务器和其他服务器的响应存在显著的差别,
则丢弃它的响应, 否则将使用来自它的响应,
而不理会其他服务器。 一般来说,
prefer 参数应该标注在非常精确的 NTP
时源, 例如那些包含特殊的时间监控硬件的服务器上。
而 driftfile 选项,
则指定了用来保存系统时钟频率偏差的文件。
&man.ntpd.8; 程序使用它来自动地补偿时钟的自然漂移,
从而使时钟即使在切断了外来时源的情况下,
仍能保持相当的准确度。
另外, driftfile
选项也保存上一次响应所使用的 NTP 服务器的信息。
这个文件包含了 NTP 的内部信息, 它不应被任何其他进程修改。
控制您的服务器的访问
默认情况下, NTP 服务器可以被整个 Internet 上的主机访问。
如果在 /etc/ntp.conf 中指定 restrict
参数, 则可以控制允许哪些机器访问您的服务器。
如果希望拒绝所有的机器访问您的 NTP
服务器, 只需在
/etc/ntp.conf 中加入:
restrict default ignore
这样做会禁止您的服务器访问在本地配置中列出的服务器。
如果您需要令 NTP 服务器与外界的 NTP
服务器同步时间, 则应允许指定服务器。 请参见联机手册
&man.ntp.conf.5; 以了解进一步的细节。
如果只希望子网内的机器通过您的服务器同步时钟,
而不允许它们配置为服务器, 或作为同步时钟的节点来时用,
则加入
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
这里, 需要把 192.168.1.0 改为您网络上的
IP 地址, 并把 255.255.255.0 改为您的子网掩码。
/etc/ntp.conf 可能包含多个
restrict 选项。 要了解进一步的细节,
请参见 &man.ntp.conf.5; 的
Access Control Support(访问控制支持)
小节。
运行 NTP 服务器
要让 NTP 服务器在系统启动时随之开启,
需要把 ntpd_enable="YES" 加入到
/etc/rc.conf 中。
如果希望向 &man.ntpd.8; 传递更多参数, 需要编辑
/etc/rc.conf 中的
ntpd_flags。
要在不重新启动机器的前提下启动服务器, 需要手工运行
ntpd, 并带上
/etc/rc.conf
中的 ntpd_flags 所指定的参数。
例如:
&prompt.root; ntpd -p /var/run/ntpd.pid
在临时性的 Internet 连接上使用 ntpd
&man.ntpd.8; 程序的正常工作并不需要永久性的 Internet 连接。
然而, 如果您的临时性连接是配置为按需拨号的,
那么防止 NTP 通讯频繁触发拨号, 或保持连接就有必要了。
如果您使用用户级 PPP, 可以使用 filter
语句, 在 /etc/ppp/ppp.conf 中进行必要的设置。
例如:
set filter dial 0 deny udp src eq 123
# Prevent NTP traffic from initiating dial out
set filter dial 1 permit 0 0
set filter alive 0 deny udp src eq 123
# Prevent incoming NTP traffic from keeping the connection open
set filter alive 1 deny udp dst eq 123
# Prevent outgoing NTP traffic from keeping the connection open
set filter alive 2 permit 0/0 0/0
要了解进一步的信息, 请参考 &man.ppp.8; 的 PACKET
FILTERING(包过滤) 小节, 以及
/usr/share/examples/ppp/ 中的例子。
某些 Internet 访问提供商会阻止低编号的端口,
这会导致 NTP 无法正常工作, 因为响应无法到达您的机器。
进一步的信息
关于 NTP 服务器的文档, 可以在
/usr/share/doc/ntp/ 找到 HTML
格式的版本。